En los últimos años, los periodos de validez de los certificados SSL/TLS se han acortado drásticamente, y el último movimiento de Apple marca un cambio significativo en cómo se gestionarán pronto los certificados. Esta tendencia comenzó con el impulso inicial de Google para reducir la vida útil de los certificados a 90 días, con el objetivo de reforzar la seguridad y reducir los riesgos de certificados comprometidos. Sin embargo, la semana pasada, Apple saltó a los titulares del mundo de la seguridad digital al presentar un proyecto de ley para acortar el periodo máximo de validez de los certificados SSL/TLS públicos a sólo 47 días de aquí a 2027. Esta medida, presentada durante las reuniones del CA/Browser Forum, se alinea con los esfuerzos más amplios del sector liderados por los principales navegadores, incluido Google, para mejorar la seguridad web reduciendo la vida útil de los certificados.
Certificados de 47 días
Actualmente, la norma para los certificados públicos es un máximo de 398 días. Sin embargo, la propuesta de Apple establece una hoja de ruta para reducir gradualmente este plazo, con hitos significativos en 2025, 2026 y, finalmente, alcanzando un máximo de 47 días en abril de 2027. En particular, la propuesta también incluye una reducción del periodo de reutilización de la Validación de Control de Dominio (DCV), que se reducirá a solo 10 días en septiembre de 2027.
Según Apple, reducir la vida útil de los certificados a 47 días es una posible mejor práctica. Al acortar el tiempo de validez de un certificado, la ventana de riesgo para un posible compromiso podría reducirse significativamente. A medida que la industria avanza hacia estos ciclos de vida más estrictos, obliga a las organizaciones a mantenerse vigilantes sobre la gestión de sus certificados, reduciendo la probabilidad de infracciones causadas por certificados obsoletos o mal emitidos.
El reto para los equipos de TI
Esta tendencia también se alinea con la creciente adopción de herramientas de automatización, que son esenciales para gestionar las renovaciones de certificados más frecuentes que exigen los periodos de validez más cortos. ACME (Automated Certificate Management Environment) ha surgido como una herramienta crucial en este contexto, especialmente para las pequeñas y medianas empresas (PYME).
Aunque las ventajas para la seguridad de unos periodos de validez de los certificados más cortos son evidentes, también plantean importantes retos operativos. Las organizaciones que dependen de métodos manuales para el seguimiento y la renovación de certificados pueden encontrarse con que es abrumador seguir el ritmo de renovaciones más frecuentes. Para los atareados equipos de TI, hacer malabarismos con certificados con distintas fechas de caducidad puede aumentar el riesgo de que los certificados caducados provoquen interrupciones del servicio.
A través de ACME, las organizaciones pueden automatizar la emisión, instalación y renovación de certificados, garantizando que, incluso con el ciclo reducido de 47 días, los certificados se actualicen sin intervención manual. Esto es especialmente beneficioso para las empresas más pequeñas que a menudo carecen de los recursos o el tiempo para gestionar los certificados manualmente, pero aún así necesitan cumplir con las últimas normas de seguridad y evitar interrupciones debidas a certificados caducados.
Aunque el paso a los certificados de 47 días para 2027 puede parecer un reto, especialmente para las organizaciones más pequeñas, las herramientas de automatización como ACME lo hacen factible. Al adoptar ACME y soluciones automatizadas similares como el Certificate Automation Manager para nuestros clientes empresariales, las organizaciones que implementen estas soluciones ahora estarán bien preparadas para el futuro de la seguridad web y podrán evitar los escollos de la gestión manual de certificados.
Organizations that implement these solutions now will be well-prepared for the future of web security and can avoid the pitfalls of manual certificate management.