La duración de los certificados TLS se reducirá oficialmente a 47 días

El Foro de CA/Browser Forum ha votado oficialmente a favor de modificar los Requisitos Base de TLS para establecer un cronograma que acorte la vigencia de los certificados TLS y la reutilización de la información validada por la CA en los certificados. Los primeros impactos de la votación en los usuarios tendrán lugar en marzo de 2026.

La votación se debatió extensamente en el CA/Browser Forum y pasó por varias versiones, incorporando los comentarios de las autoridades certificantes y sus clientes. El periodo de votación finalizó el 11 de abril de 2025, cerrando un capítulo muy disputado y permitiendo al sector de la certificación planificar el futuro.

El nuevo cronograma de vida útil del certificado TLS

La nueva votación establece una validez de 47 días para los certificados, lo que hace esencial la automatización. Antes de esta propuesta de Apple, Google promovía una validez máxima de 90 días, pero votó a favor de la propuesta de Apple casi inmediatamente después de que comenzara el periodo de votación.

Aquí está el cronograma:

• La vida útil máxima del certificado está disminuyendo:

  • Desde hoy y hasta el 15 de marzo de 2026, la vida útil máxima de un certificado TLS es de 398 días.

  • A partir del 15 de marzo de 2026, la vida útil máxima de un certificado TLS será de 200 días.

  • A partir del 15 de marzo de 2027, la vida útil máxima de un certificado TLS será de 100 días.

  • A partir del 15 de marzo de 2029, la vida útil máxima de un certificado TLS será de 47 días.

El período máximo durante el cual se puede reutilizar la información de validación de dominio y dirección IP está disminuyendo:

• Desde hoy y hasta el 15 de marzo de 2026, el período máximo durante el cual se puede reutilizar la información de validación del dominio es de 398 días.

• A partir del 15 de marzo de 2026, el período máximo durante el cual se puede reutilizar la información de validación del dominio es de 200 días.

• A partir del 15 de marzo de 2027, el período máximo durante el cual se puede reutilizar la información de validación del dominio es de 100 días.

• A partir del 15 de marzo de 2029, el período máximo durante el cual se puede reutilizar la información de validación del dominio es de 10 días.

A partir del 15 de marzo de 2026, las validaciones de la Información de Identidad del Sujeto (SII) solo se pueden reutilizar durante 398 días, en lugar de 825. La SII es el nombre de la empresa y otra información contenida en un certificado OV (Validado por la Organización) o EV (Validación Extendida) ; es decir, todo excepto el nombre de dominio o la dirección IP protegidos por el certificado. Esto no afecta a los certificados DV (Validado por Dominio), que no tienen SII.
 

¿Por qué 47 días?

47 días puede parecer un número arbitrario, pero es una cascada simple:

• 200 días = 6 meses máximos (184 días) + 1/2 mes de 30 días (15 días) + 1 día de margen de maniobra

• 100 días = 3 meses máximos (92 días) + ~1/4 mes de 30 días (7 días) + 1 día de margen de maniobra

• 47 días = 1 mes máximo (31 días) + 1/2 mes de 30 días (15 días) + 1 día de margen de maniobra

La justificación de Apple para el cambio

En la votación, Apple presentó numerosos argumentos a favor de estas medidas, y uno de ellos es el más destacado. Afirman que el CA/B Forum lleva años recomendando al mundo, mediante la reducción constante de la vida útil máxima, que la automatización es fundamental para una gestión eficaz del ciclo de vida de los certificados .

En la votación se argumenta que son necesarias duraciones más cortas por muchas razones, siendo la más importante la siguiente: la información contenida en los certificados se vuelve cada vez menos confiable con el paso del tiempo, un problema que solo se puede mitigar revalidando frecuentemente la información.

La votación también argumenta que el sistema de revocación que utiliza CRL y OCSP no es fiable. De hecho, los navegadores suelen ignorar estas características. La votación incluye una extensa sección sobre las deficiencias del sistema de revocación de certificados. Una vida útil más corta mitiga los efectos del uso de certificados potencialmente revocados. En 2023, CA/B Forum llevó esta filosofía a otro nivel al aprobar certificados de corta duración, que expiran en 7 días y no requieren compatibilidad con CRL ni OCSP.

Aclarando la confusión sobre las nuevas reglas

Hay dos puntos sobre las nuevas reglas que probablemente causen confusión:

• Los tres años para los cambios de reglas son 2026, 2027 y 2029, pero la brecha entre el segundo conjunto de años es de dos años.

• A partir del 15 de marzo de 2029, la vida útil máxima de un certificado TLS será de 47 días, pero el periodo máximo de reutilización de la información de validación del dominio será de solo 10 días . La revalidación manual seguirá siendo técnicamente posible, pero hacerlo sería una garantía de fallos e interrupciones.

Como autoridad certificante, una de las preguntas más frecuentes que recibimos de nuestros clientes es si se les cobrará más por reemplazar certificados con mayor frecuencia. La respuesta es no. El costo se basa en una suscripción anual, y hemos descubierto que, una vez que los usuarios adoptan la automatización , suelen optar voluntariamente por ciclos de reemplazo de certificados más rápidos.

Por este motivo, y debido a que incluso los cambios de 2027 a los certificados de 100 días harán insostenibles los procedimientos manuales, esperamos una rápida adopción de la automatización mucho antes de los cambios de 2029.

La declaración de Apple sobre la gestión automatizada del ciclo de vida de los certificados es indiscutible, pero es algo para lo que nos hemos estado preparando durante mucho tiempo. DigiCert ofrece múltiples soluciones de automatización, incluyendo compatibilidad con ACME. ACME de DigiCert permite la automatización de certificados DV, OV y EV, e incluye compatibilidad con ACME Renewal Information (ARI).

Puede ponerse en contacto con nosotros para obtener más información sobre cómo aprovechar al máximo Discovery & Automation.

Fuente: DigiCert