La CA/Browser Forum ha dado luz verde a una transformación significativa en la gestión de certificados digitales en Internet al aprobar la propuesta SC-081v3, que establece un calendario progresivo para reducir tanto la validez máxima de los certificados TLS públicos como los periodos de reutilización de los datos de validación. El objetivo: reforzar la seguridad del ecosistema Web PKI y adaptarse a las crecientes amenazas cibernéticas.
La votación concluyó con 25 votos a favor y ninguno en contra, lo que demuestra el respaldo unánime de las principales entidades implicadas en la gestión de certificados digitales, incluidos representantes de Apple, Google Chrome, Mozilla y Sectigo, quienes también avalaron la propuesta desde su origen.
¿Qué son los certificados TLS?
Los certificados TLS (Transport Layer Security) son una piedra angular de la seguridad en Internet. Permiten establecer conexiones seguras (HTTPS) entre los navegadores y los servidores web, protegiendo la información sensible que se transmite en línea. Esto incluye cifrado de la conexión, para evitar que terceros intercepten datos personales, contraseñas o tarjetas bancarias; Autenticación del sitio web, garantizando que el usuario se conecta con una web legítima o integridad de los datos, asegurando que la información no se modifica en tránsito.
Los certificados TLS son emitidos por Autoridades de Certificación (CAs), entidades confiables como DigiCert, Sectigo, GlobalSign o Let’s Encrypt, que validan que el solicitante del certificado es realmente el propietario del dominio.
TLS, por cierto, es el sucesor de SSL (Secure Sockets Layer), un protocolo de seguridad desarrollado por Netscape en los años 90. Aunque muchos todavía hablan de «certificados SSL», hoy en día todas las conexiones HTTPS seguras utilizan TLS, ya que SSL ha quedado obsoleto debido a vulnerabilidades conocidas. Las versiones modernas de TLS —la actual es TLS 1.3— ofrecen mayor seguridad y eficiencia.
Actualmente, los certificados TLS tienen una validez máxima de 398 días. Esta nueva iniciativa establece una reducción progresiva:
- Desde el 15 de marzo de 2026: validez máxima y reutilización de datos de validación reducidos a 200 días.
- Desde el 15 de marzo de 2027: se reduce a 100 días.
- Desde el 15 de marzo de 2029: los certificados tendrán una validez máxima de 47 días, y los datos reutilizables para la validación de nombres alternativos del sujeto (SAN) se limitarán a 10 días.
El documento de la propuesta detalla las razones que justifican este cambio. Entre ellas, destaca la necesidad de reducir el riesgo de certificados con datos obsoletos, que pueden seguir siendo válidos a pesar de haber quedado desactualizados. Se menciona también el objetivo de minimizar la ventana de exposición frente a compromisos de claves o configuraciones erróneas, así como fomentar el uso de automatización para la emisión, renovación y revocación de certificados, lo que contribuye a un ecosistema más ágil y menos propenso a errores humanos y reforzar la seguridad frente a algoritmos criptográficos obsoletos o potencialmente vulnerables, ya que ciclos de renovación más cortos permiten reaccionar con mayor rapidez.
Implicaciones para las organizaciones
El nuevo calendario representa un cambio drástico para administradores de sistemas y responsables de seguridad, especialmente en organizaciones que gestionan múltiples dominios. Si bien la medida introduce una carga adicional de gestión, también se considera una palanca clave para avanzar hacia modelos más automatizados de gestión de certificados, con soluciones como Let’s Encrypt y protocolos como ACME como referentes en este ámbito.
Además, los expertos advierten que depender exclusivamente de servicios de revocación como CRL u OCSP no es suficiente, ya que estos presentan limitaciones de escalabilidad, privacidad y fiabilidad. La reducción del periodo de validez de los certificados se presenta como una medida proactiva y robusta que refuerza la protección del usuario final sin depender de servicios externos.
La CA/Browser Forum también se reserva la posibilidad de introducir ajustes futuros en función del impacto real de estas medidas y de la evolución de amenazas y tecnologías en el ecosistema Web PKI.
