A partir del 1 de septiembre, no podrán emitirse certificados SSL/TLS con una validez superior a 13 meses (397 días). Este cambio fue comunicado por primera vez por Apple durante la reunión presencial del Foro de Navegadores y Autoridades de Certificación, que se celebró en Bratislava en marzo.
Posteriormente, durante la reunión de verano del Foro de Navegadores y Autoridades de Certificación celebrada (virtualmente) la semana pasada, Google anunció su intención de replicar la decisión de Apple en su propio programa raíz.
También se está realizando una votación a través de los navegadores con el objetivo de armonizar los requisitos de referencia del sector con los nuevos cambios de los programas raíz. El Foro está debatiendo actualmente sobre este asunto.
Somos conscientes de que hay mucho que aclarar en torno a estos cambios y, por ello, el objetivo de esta publicación es arrojar luz sobre ellos.
Por qué se acorta la validez de los certificados SSL/TLS
Desde un punto de vista teórico general, la reducción del periodo de validez de los certificados arroja dos ventajas principales:
En primer lugar, el aspecto técnico: un periodo de validez más amplio aumenta el tiempo necesario para implantar orgánicamente las actualizaciones o cambios. Un ejemplo real sería la transición de SHA1 a SHA2. A menos que vaya a revocar un montón de certificados y sea necesario forzar su reemisión por parte de los clientes, pasarían años antes de que los certificados antiguos se sustituyesen. En el caso de SHA1, transcurrieron tres años, una demora que genera riesgos.
La segunda ventaja tiene que ver con la identidad: ¿durante cuánto tiempo es posible confiar en la información utilizada para validar una identidad? Cuanto más tiempo transcurre entre validaciones, mayor es el riesgo. Según Google, lo ideal sería validar los dominios aproximadamente cada seis horas.
Antes de 2015, los certificados SSL/TLS podían emitirse con un periodo de validez de hasta cinco años. Posteriormente, este plazo se redujo a tres y en 2018 a dos. A finales de 2019, el Foro de Navegadores y Autoridades de Certificación celebró una votación para reducirlo a un año, pero la propuesta fue rechazada de plano por las Autoridades de Certificación.
De modo que, ¿por qué vuelve a reducirse el periodo de validez de los certificados a un año?
El Foro de Navegadores y Autoridades de Certificación es un grupo sectorial que se reúne para votar una serie de requisitos de referencia para la emisión de certificados digitales de confianza. Su papel, sin embargo, no es el de un órgano de gobierno. Aunque las AC expresaron sus reticencias ante esta nueva reducción de la validez máxima, Apple y Google están en todo su derecho de actualizar las políticas de sus programas raíz según estimen oportuno.
Sabemos que toda esta información técnica puede ser difícil de asimilar, así que comenzaremos por el principio y trataremos de aclarar el párrafo anterior.
Las Autoridades de Certificación y los navegadores mantienen una relación de interdependencia. Los navegadores necesitan recurrir a los certificados para determinar si los sitios web son confiables y establecer conexiones seguras. Por lo que respecta a las AC, ¿qué utilidad tiene un certificado público que no cuente con la confianza de un navegador?
Esta relación se gestiona a través de los programas raíz. Los cuatro programas más importantes son:
- Microsoft
- Apple
- Mozilla
- Google (estos dos últimos denominados Googzilla – lol)
No es casualidad que estos cuatro programas dependan de los principales navegadores para equipos de sobremesa y móviles. Para que los certificados de las AC cuenten con la confianza de los programas raíz y, por extensión, de los navegadores y los SO que los usan, deben ceñirse a las directrices del programa raíz. El Foro de Navegadores y Autoridades de Certificación es un foro sectorial cuyo objetivo debe ser facilitar los cambios en los programas raíz (y en el propio ecosistema).
Sin embargo, los programas raíz, representados por los navegadores, tienen la capacidad de actuar y realizar cambios unilateralmente según estimen oportuno. Cuando esto sucede, la necesidad de garantizar la interoperabilidad hace que la política del programa raíz más restrictiva se convierta de hecho en el nuevo requisito de referencia.
Este es el motivo que nos ha traído hasta aquí. Ahora, veamos cuáles son las implicaciones para su sitio web.
Cuáles son las implicaciones de la reducción de la validez de los certificados SSL/TLS para los responsables de sitios web
Para empezar, esta medida entrará en vigor el 1 de septiembre de 2020. De modo que, si actualmente utiliza un certificado de dos años emitido antes del 1 de septiembre, su certificado seguirá siendo válido hasta la fecha de vencimiento original. Sin embargo, no podrá volver a renovarlo con un periodo de validez de dos años.
Dicho de otro modo, si desea obtener un certificado con una validez de dos años, puede solicitarlo antes del 1 de septiembre. Después de esta fecha, estos periodos de validez quedarán relegados a la papelera de reciclaje de la historia.
Desde un punto de vista más general, podría ser un buen momento para plantearse ampliar la automatización de sus funciones de gestión del ciclo de vida de certificados. En particular, puede interesarle si la suya es una gran organización que gestiona docenas de certificados de sitios web con confianza pública, una organización que usa certificados de correo electrónico con confianza pública, o cualquier entidad que implementa una AC privada o firmas electrónicas basadas en PKI. También puede plantearse migrar de certificados con confianza pública a confianza privada, lo que también simplifica la gestión; incluso podría emitir certificados con periodos de validez más prolongados usando este método.
En cualquier caso, a la vista de que los programas raíz apuestan por periodos de validez cada vez más cortos, es muy probable que las organizaciones se vean obligadas a automatizar gran parte de la gestión de sus certificados en el futuro.
Parece más sensato explorar esta posibilidad ahora que dejarlo para el último momento.
Cómo gestionará GlobalSign de los certificados de un año
Para simplificar las cosas y hacer el proceso lo más sencillo posible, a partir del 31 de agosto, GlobalSign ofrecerá a los clientes de SSL/TLS la validez máxima de 397 cuando soliciten certificados de un año. Para que nuestros clientes se beneficien de la máxima validez, esta medida se aplicará tanto en los nuevos pedidos como en las renovaciones.
Seguramente deseará seguir renovando su certificado antes del vencimiento. Sin embargo, puesto que no podemos añadir hasta 90 días de validez adicionales, le recomendamos que lo renueve 30 días antes del vencimiento.
¿Qué sucede cuando reemito mis certificados?
Quizá se pregunte qué sucederá cuando reemita uno de sus certificados con validez de dos años una vez que este cambio entre en vigor. La respuesta le gustará. Si reemite un certificado y pierde parte de la validez (estamos obligados a limitar la validez a 397 días), podrá reemitir el certificado más tarde –preferiblemente antes de los 397 días anteriores a la fecha de vencimiento del certificado original– y recuperar la validez perdida en la primera reemisión. El proceso es el mismo que el aplicado en 2018, cuando pasamos de una validez máxima de tres años a una validez de dos años.
Es importante recordar que el proceso de reemisión de los certificados EV es ligeramente distinto, debido a los requisitos de las Directrices sobre EV relativos a la reemisión de certificados. Aunque podrá reemitir sus certificados, se pondrán en espera hasta que sean revisados manualmente y nos aseguremos de que todas las validaciones están al día antes de emitirlo.
Si tiene alguna pregunta sobre cómo afectarán estos cambios a su empresa o sitio web específicamente, no dude en ponerse en contacto con nosotros.
Como siempre, seguiremos informándole de cualquier novedad que surja.