Certificados TLS de 47 días 

Los certificados SSL (Secure Sockets Layer) o TLS (Transport Layer Security) son credenciales digitales que protegen la conexión entre su navegador y un sitio web. Estos certificados protegen la conexión entre su navegador y un sitio web cifrando datos como contraseñas y verificando la legitimidad del sitio. Esto protege su información de atacantes y previene sitios web falsos. Un icono de candado en el navegador indica cuándo un sitio utiliza estos certificados.  

El Foro CA/B ha aprobado oficialmente una reducción gradual de la vigencia de los certificados SSL/TLS públicos, estableciendo un máximo de 47 días de validez para marzo de 2029. Con el respaldo de Apple, Google, Mozilla y Microsoft, este cambio también reduce la reutilización de la validación de dominio a 10 días. La Validación de Control de Dominio (DCV) es el proceso que utilizan las Autoridades de Certificación (CA) para verificar que quien solicita un certificado SSL/TLS sea realmente el propietario o controle el dominio en cuestión. Este cambio está diseñado para mejorar la seguridad, pero plantea nuevos retos operativos para las organizaciones.  

Cronología de las reducciones de validez de los certificados SSL/TLS

El período de validez de los certificados SSL/TLS se ha reducido progresivamente a lo largo de los años para reforzar la seguridad en línea. Este cambio refleja la creciente necesidad de una rotación de claves más rápida, una respuesta más ágil a las vulnerabilidades y mejores prácticas criptográficas. A continuación, se muestra una cronología que muestra la evolución de estos cambios y su necesidad.

2011: Certificados válidos por 8-10 años 

• ¿Porque tanto tiempo? 
  Temprano, CA Los proveedores de navegadores permitieron largos periodos de validez debido a que la infraestructura de seguridad web era menos madura. El objetivo era la comodidad, minimizando la carga administrativa para organizaciones y usuarios. Una mayor validez implicaba menos renovaciones, lo que facilitaba la gestión de certificados, pero a costa de la agilidad en materia de seguridad. 

• Inconvenientes: 
  Los certificados de larga duración implicaban que las vulnerabilidades (como claves comprometidas o algoritmos criptográficos obsoletos) seguían utilizándose durante años, lo que aumentaba los riesgos de seguridad. 

2015: Reducido a 3 años 

• Motivo de la reducción: 
  Para 2015, la industria reconoció la necesidad de una rotación de claves más frecuente para mejorar la seguridad. Los estándares criptográficos evolucionaban rápidamente, y los certificados de larga duración se consideraban riesgosos porque prolongaban la exposición a posibles vulnerabilidades. 

• Repercusiones: 
  La reducción alentó a las organizaciones a renovar los certificados con mayor frecuencia, lo que facilitó una mejor higiene de seguridad, pero al mismo tiempo mantuvo las renovaciones manejables. 

2018: Reducido a 2 años 

• ¿Por qué acortarlo aún más? 
  Ante el aumento de las ciberamenazas y los rápidos avances en criptoanálisis, un plazo de 3 años se consideró demasiado largo para responder adecuadamente a las vulnerabilidades emergentes. Reducirlo a 2 años se alineó mejor con las mejores prácticas en la gestión del ciclo de vida criptográfico. 

• Impulso de la industria: 
  Los proveedores de navegadores y la CA / Foro del navegador Impulsó este cambio para mejorar la seguridad web y reducir el riesgo de mal uso o compromiso. 

Septiembre de 2020: Reducido a 398 días (aproximadamente 13 meses) 

• Motivación: 
  El cambio a una validez de aproximadamente un año reflejó la necesidad de una respuesta ágil a las amenazas, rotaciones de claves más rápidas y una adopción más rápida de estándares criptográficos actualizados. Este cambio dificultó a los atacantes explotar certificados comprometidos durante períodos prolongados. 

• Cumplimiento del navegador: 
  Los principales navegadores impusieron este límite para mejorar la seguridad general de Internet, lo que requiere una mayor automatización en la gestión de certificados. 

Actualidad (2025): Aún quedan 398 días

• Próximos cambios: 
  El CA/Browser Forum aprobó una reducción gradual a una vida útil máxima de 47 días para marzo de 2029, y la reutilización de la validación del dominio se redujo a 10 días. 

• ¿Porqué ahora? 
  La mayor rapidez en la renovación de certificados busca reducir drásticamente los riesgos asociados a certificados comprometidos, emisión indebida y criptografía obsoleta. Además, respalda la evolución de los estándares de seguridad, incluidos los algoritmos resistentes a la computación cuántica. 

• Desafíos operativos: 
  Esto requerirá que las organizaciones adopten sistemas de gestión de certificados altamente automatizados y escalables para gestionar renovaciones y validaciones frecuentes sin errores. 

¿Qué está cambiando? 

El Foro de CA/Navegadores ha aprobado una reducción gradual de la vida útil de los certificados. Esto implica que estos deben renovarse con mucha más frecuencia, lo que hace que los procesos manuales sean insostenibles para la mayoría de las organizaciones. 

Fecha	Periodo máximo de validez	Período de reutilización del DCV
Marzo 15, 2026	200 días	–
Marzo 15, 2027	100 días	–
Marzo 15, 2029	47 días	10 días

En 2023, Google propuso reducir la duración de los certificados TLS de 398 días a tan solo 90 para mejorar la seguridad y fomentar la automatización. Apple fue un paso más allá y recomendó un límite de 47 días. Tras debates en el sector, el Foro de Autoridades de Certificación/Navegadores aprobó un plan gradual para adoptar certificados de 47 días para 2029. Los principales navegadores han respaldado esta medida para reducir los riesgos y garantizar conexiones web más seguras.  

Las organizaciones que aún utilizan versiones antiguas y obsoletas de TLS, como TLS 1.0 o TLS 1.1, o que dependen de conjuntos de cifrado débiles como RC4 o SHA-1, se enfrentan a graves problemas de seguridad y operativos. Estos protocolos y algoritmos desactualizados son vulnerables a ataques como POODLE y BEAST, y los navegadores y las autoridades de certificación modernos ya no los admiten.

Con la transición a una vida útil de los certificados más corta y políticas de seguridad más estrictas, las organizaciones deben actualizar sus sistemas al menos a TLS 1.2 o, preferiblemente, a TLS 1.3. También deben reemplazar los cifrados débiles por opciones más robustas como AES-GCM y la criptografía de curva elíptica (ECC). Esto se debe a que estos algoritmos modernos ofrecen un mejor rendimiento y mayor seguridad. AES-GCM proporciona cifrado autenticado, lo que ayuda a prevenir la manipulación de datos, mientras que ECC ofrece un cifrado robusto con longitudes de clave más cortas, lo que lo hace más rápido y eficiente. 

Los Pros

Usar certificados con una vida útil más corta es una forma sencilla de que las organizaciones mejoren su seguridad. Al reemplazar los certificados con mayor frecuencia, es más difícil para los atacantes aprovecharse de los que están comprometidos. Este enfoque ayuda a limitar el daño causado por posibles amenazas a la seguridad y facilita mantener los sistemas seguros y actualizados. Una vida útil más corta de los certificados ofrece claras ventajas de seguridad, como las siguientes:

• Superficie de ataque reducida: Los certificados comprometidos tienen una validez más corta, lo que limita los riesgos, como las filtraciones de datos. Al minimizar el tiempo que un certificado comprometido puede ser explotado, las organizaciones reducen el riesgo de incidentes de seguridad prolongados, sanciones regulatorias, daños a la reputación y pérdidas financieras causadas por tiempos de inactividad o filtraciones. En entornos de alto riesgo, este menor tiempo de exposición puede reducir significativamente el impacto en la seguridad y el negocio.  
  Ejemplo: Emisión incorrecta de certificado de SSL.com (abril de 2025)En abril de 2025, SSL.com descubrió una vulnerabilidad en su proceso de validación de dominio (DCV) que permitía a los usuarios validar incorrectamente dominios que no les pertenecían. Esto provocó la emisión errónea de 11 certificados SSL/TLS, que podrían haberse utilizado para alojar sitios web falsificados o realizar ataques de intermediario (MITM). Si bien los certificados se revocaron en las 24 horas posteriores al descubrimiento, el incidente puso de manifiesto el peligro de confiar en certificados de larga duración cuando se producen errores de validación. 
• Seguridad actualizada: La renovación automática de certificados ayuda a las organizaciones a mantenerse al día con los estándares criptográficos modernos como SHA-2, RSA (Rivest, Shamir, Adleman), ECC y muchos más. Reduce el riesgo de usar algoritmos obsoletos o débiles al garantizar actualizaciones periódicas. A medida que la vigencia de los certificados se acorta, las renovaciones se vuelven más frecuentes, lo que crea momentos idóneos para evaluar la seguridad criptográfica, rotar las claves y eliminar gradualmente los métodos de cifrado antiguos.  
  Este enfoque no solo refuerza la seguridad actual, sino que también facilita la adopción de nuevos estándares, como la criptografía poscuántica, cuando llegue el momento. Sin automatización, mantener este nivel de rutina criptográfica y escalarlo es prácticamente imposible. La decisión de Mozilla y Google de desconfiar de Entrust en 2024 pone de relieve la necesidad de agilidad en la gestión de certificados. Con una vida útil de 47 días, las organizaciones pueden cambiar de CA más rápidamente, reducir la dependencia de los anclajes de confianza a largo plazo y responder con rapidez a los problemas de cumplimiento.

• Gestión simplificada del inventario de certificadosLas renovaciones frecuentes mejoran el seguimiento y la concienciación de los certificados. Las organizaciones obtienen visibilidad en tiempo real de los certificados activos, lo que reduce los certificados olvidados o huérfanos que pueden causar brechas de seguridad. En 2023, Cisco informó que las renovaciones frecuentes de certificados les ayudaron a identificar y eliminar certificados huérfanos en su red, mejorando la seguridad y previniendo interrupciones inesperadas. 
• Admite seguridad de confianza cero: Al validar continuamente los certificados, las organizaciones evitan confiar en certificados caducados o revocados, manteniendo un control estricto del acceso. Sin embargo, la gestión manual de certificados dificulta esta tarea, aumentando la posibilidad de errores humanos y retrasos en las respuestas. Nuestra solución de gestión del ciclo de vida de los certificados (CLM), CertSecure Manager, le ayudará a automatizar todo el ciclo de vida de los certificados, reduciendo riesgos, ahorrando tiempo y garantizando que su organización cumpla con sus objetivos de seguridad. 

• Mejor compatibilidad con la nube y DevOps: Los entornos nativos de la nube modernos y las canalizaciones automatizadas se benefician de las rotaciones frecuentes de certificados, lo que mejora la integración con la infraestructura efímera y minimiza las credenciales obsoletas. 

Los contras

• Aumento exponencial de la carga de trabajo: Pasar de 398 días a 90 o incluso 47 días implica hasta cuatro veces más renovaciones anuales. Para una empresa que gestiona cientos o miles de certificados, esto se vuelve rápidamente abrumador. Por ejemplo, una empresa de comercio electrónico con 500 certificados necesitaría procesar más de 2,000 renovaciones al año, lo que aumentaría significativamente la carga administrativa. 

• La gestión manual se vuelve poco práctica: El seguimiento, la renovación y la implementación manual de certificados son propensos a errores, lo que provoca interrupciones, fallos de cumplimiento y fallos de seguridad. Por ejemplo, Microsoft Teams sufrió una interrupción de tres horas en 2019 cuando un certificado de autenticación caducado impidió el acceso a la plataforma a 20 millones de usuarios. El incidente puso de manifiesto los riesgos de la gestión manual de certificados, incluso para las grandes empresas tecnológicas.  
  Si Microsoft hubiera implementado certificados con una validez más corta, como un periodo de 47 días, junto con renovación y supervisión automatizadas, es probable que el certificado caducado se hubiera detectado y reemplazado con suficiente antelación. Una validez más corta exige comprobaciones más frecuentes y reduce el margen de error en caso de fallos relacionados con los certificados, lo que disminuye considerablemente la probabilidad de interrupciones como esta. Este caso pone de manifiesto la importancia de aplicar ciclos de renovación más estrictos y la automatización en la gestión del ciclo de vida de los certificados (CLM).

• Tensión de recursos: Los equipos de TI deben dedicar más tiempo, personal y capacitación a la gestión de certificados, lo que desvía la atención del trabajo estratégico. En organizaciones más pequeñas, el aumento de la carga de trabajo puede obligar a los equipos a retrasar actualizaciones críticas o mejoras de seguridad. 

• Riesgo de cortes: Los certificados caducados provocan interrupciones del servicio, pérdida de confianza del cliente y posibles pérdidas de ingresos. Según el Informe sobre el Estado de la Gestión de Identidades de las Máquinas de 2022, alrededor del 81 % de las organizaciones reportan interrupciones relacionadas con los certificados cada año. Por ejemplo, Google Voice sufrió una interrupción global en 2021 debido a un certificado TLS caducado, lo que impidió a los usuarios realizar llamadas durante horas. De igual forma, los dispositivos SD-WAN de Cisco sufrieron fallas cuando caducó un certificado de hardware, lo que afectó la conectividad empresarial y requirió una intervención urgente.

• Complejidad de cumplimiento: Mantener el cumplimiento de las normas y los requisitos de auditoría en constante evolución se vuelve más complejo sin automatización. En la brecha de seguridad de Equifax, el certificado de un dispositivo de monitoreo expiró y pasó desapercibido durante 19 meses, lo que permitió a los atacantes acceder a datos confidenciales sin ser detectados. En ese momento, Equifax tenía 324 certificados SSL caducados, incluidos 79 en dispositivos de monitoreo críticos, lo que demuestra cómo las deficiencias en la gestión de certificados pueden provocar graves incumplimientos normativos y sanciones regulatorias. 

Automatización: la única solución viable 

Dado que los certificados requieren renovaciones más frecuentes, la gestión manual ya no es práctica, ya que aumenta el riesgo de errores humanos, incumplimiento de plazos y posibles interrupciones del servicio. Según el CA/Browser Forum, organismo que rige los estándares de certificados, la reducción de la vida útil de los certificados forma parte de una estrategia más amplia para mejorar la seguridad y la adaptabilidad a los estándares criptográficos emergentes. 

Las organizaciones que gestionan inventarios de certificados a gran escala deben adoptar sistemas automatizados para gestionar las renovaciones en múltiples plataformas, garantizando así la escalabilidad. Sin embargo, la automatización también presenta desafíos: 

• Automatización de la revocación de certificadosRevocar certificados en tiempo real y garantizar que todos los sistemas dependientes reflejen el cambio puede ser difícil. 

• Propagación oportunaEl estado de revocación se debe distribuir rápidamente a través de OCSP y CRL para evitar que los certificados obsoletos o vulnerables sigan siendo confiables. 

• Gestión de CRL y grapado de OCSP:Esto requiere una configuración cuidadosa para garantizar que los navegadores y sistemas reciban información de revocación actualizada. 

• Manejo de dependencia:Los certificados a menudo tienen dependencias de aplicaciones o servicios que necesitan coordinación durante las actualizaciones o la revocación. 

• Auditoría y visibilidad:Garantizar que las acciones automatizadas se registren y sean rastreables es importante para cumplir con los requisitos de cumplimiento y solucionar problemas. 

• Riesgo de tiempo de inactividad: Una automatización inadecuada puede provocar interrupciones inesperadas del servicio. 

La automatización agiliza el proceso de renovación y ayuda a mantener el cumplimiento de las políticas de seguridad y los estándares regulatorios, lo cual es esencial para prevenir vulnerabilidades de seguridad. Además, automatizar la gestión de certificados puede reducir significativamente el riesgo de errores, tiempos de inactividad y posibles brechas de seguridad, mejorando así la rentabilidad y la fiabilidad operativa. A medida que aumenta la necesidad de una seguridad más rápida, la automatización se ha vuelto esencial para que las empresas se mantengan seguras y cumplan con las normativas.

Pasos recomendados para implementar la automatización 

Se espera que las organizaciones cumplan con los estándares de seguridad, sigan las normas de cumplimiento normativo y mantengan los servicios funcionando sin problemas. A medida que los sistemas digitales crecen y el uso de certificados aumenta, es importante seguir las recomendaciones del sector. Estas se basan en desafíos reales y ayudan a reducir riesgos como la caducidad de certificados o problemas de seguridad. Al aplicar estas directrices, los equipos pueden mejorar la seguridad, evitar errores manuales y estar preparados para auditorías y cambios de políticas. 

• Realice una auditoría completa de su inventario de certificados 

• Identificar plataformas y sistemas que requieren automatización 

• Seleccione una solución CLM integral 

• Integrar el CLM con la infraestructura existente y los pipelines de DevOps 

• Definir políticas de renovación, emisión y revocación 

• Programe controles y reportes de cumplimiento periódicos 

Administrador de CertSecure de Encryption Consulting 

Administrador de CertSecure de Encryption Consulting LLC está diseñado para afrontar los retos de la transición a una vida útil de certificados más corta, como 47 días. Con estos cambios, la automatización se vuelve esencial para gestionar eficientemente el nuevo entorno de certificados.

1. Implementar una solución CLM 

Una solución CLM es clave para gestionar de manera eficiente los certificados internos y externos, garantizar el cumplimiento criptográfico y agilizar el inventario y los informes de certificados. Administrador de CertSecure, por ejemplo, proporciona una solución integral que automatiza todo el ciclo de vida del certificado, desde el descubrimiento hasta la implementación, la renovación y la revocación, minimizando el esfuerzo manual involucrado en la gestión de certificados. 

También automatiza las comprobaciones de cumplimiento para garantizar que todos los certificados cumplan con estándares del sector como PCI-DSS, RGPD e ISO. Se generan informes completos para las auditorías, lo que simplifica los procesos de cumplimiento. 

2. Descubrimiento e inventario automatizados de certificados 

CertSecure Manager detecta automáticamente todos los certificados de su infraestructura, ya sea local, en la nube o en entornos híbridos. Proporciona un inventario completo de certificados, lo que garantiza que ningún certificado quede sin gestionar, incluidos los certificados autofirmados que puedan suponer un riesgo de seguridad. Con este inventario centralizado, puede identificar rápidamente los certificados que deben renovarse, lo que reduce significativamente el riesgo de que los certificados caducados causen problemas. 

3. Integración avanzada del protocolo ACME 

Al aprovechar el Protocolo ACMECertSecure Manager automatiza la emisión y renovación de certificados de forma segura y estandarizada. Esto elimina la intervención manual, garantizando que los certificados se renueven siempre a tiempo, incluso con los frecuentes ciclos de renovación que requieren periodos de validez más cortos, como 47 días. 

4. Renovación, reemisión y revocación automáticas 

CertSecure Manager automatiza la renovación y reemisión de certificados, garantizando que estén siempre actualizados. También revoca certificados comprometidos o innecesarios, lo que reduce los riesgos de seguridad y garantiza el cumplimiento normativo. 

Esta automatización garantiza operaciones ininterrumpidas dentro de una organización y mejora la seguridad al abordar rápidamente los certificados comprometidos o innecesarios. Facilita el cumplimiento de los requisitos de cumplimiento al gestionar los certificados a tiempo, mantener registros claros y mejorar la seguridad, a la vez que reduce la carga de trabajo y genera confianza. 

5. Cumplimiento e informes 

CertSecure Manager automatiza las comprobaciones de cumplimiento, garantizando que sus certificados cumplan con estándares del sector como NIST, HIPAA y RGPD. Genera informes completos para auditorías, lo que facilita el cumplimiento de los requisitos normativos. Estos informes también le ayudan a evaluar su infraestructura de certificados e identificar posibles debilidades antes de que se conviertan en un problema. 

6. Integraciones fluidas y agentes de renovación para una mejor gestión de certificados 

CertSecure Manager se integra con varias herramientas y plataformas, incluidas Terraform, Ansible, Azure Key Vault y SplunkPara garantizar una gestión optimizada de certificados, automatiza el aprovisionamiento, la renovación y la implementación de certificados dentro de los procesos de CI/CD en bases de datos, servidores web (Apache, IIS, NGINX) y más. Los agentes de renovación se personalizan para estos servicios, lo que garantiza la actualización y la seguridad constantes de los certificados. 

A medida que la industria está cambiando a períodos de validez de certificados de 47 días, las integraciones y los procesos automatizados de CertSecure Manager ayudan a mantener la seguridad, el cumplimiento y el tiempo de actividad al manejar renovaciones y administrar certificados en diversos entornos con un mínimo esfuerzo manual. 

Conclusión 

La transición a una validez de 47 días para los certificados TLS es solo un ejemplo de cómo la seguridad digital está evolucionando para hacer frente a las amenazas modernas. Si bien una vida útil más corta de los certificados reduce considerablemente el riesgo de vulnerabilidad, también exige procesos de gestión más avanzados y automatizados. Para mantenerse a la vanguardia, las organizaciones necesitan soluciones integrales que automaticen los ciclos de vida de los certificados y aborden necesidades más amplias de seguridad y cumplimiento normativo. 

Encryption Consulting ofrece una gama completa de servicios de seguridad y gestión de certificados, incluidas auditorías de PKI, empresariales Diseño de PKI y optimización, auditorías de cifrado y soluciones de firma de código a través de nuestra CodeSign seguro Plataforma. Apoyamos la Confianza Cero y brindamos seguridad continua. el cumplimiento Asesoramiento y ayuda para proteger activos digitales con una identidad sólida y cifrado Nuestra experiencia garantiza que su organización se mantenga protegida, en cumplimiento normativo y preparada para afrontar los desafíos cambiantes de la ciberseguridad.