Reducción de la Duración de los Certificados TLS: Preparándose para un Futuro con Períodos de Validez Más Cortos
Home / Media / News / Reducción de la Duración de los Certificados TLS: Preparándose para un Futuro con Períodos de Validez Más Cortos

Reducción de la Duración de los Certificados TLS: Preparándose para un Futuro con Períodos de Validez Más Cortos
19 Mar ‘25

Reducción de la Duración de los Certificados TLS: Preparándose para un Futuro con Períodos de Validez Más Cortos

El panorama de la seguridad digital está experimentando una transformación significativa, impulsada principalmente por los períodos de validez reducidos introducidos por los principales proveedores de navegadores web en relación con los certificados SSL/TLS. Este movimiento, que comenzó hace varios años, ha ganado un impulso considerable tras propuestas recientes de líderes de la industria como Apple y Google.

En octubre de 2024, Apple presentó una propuesta al CA/Browser Forum destinada a acortar significativamente la vida útil y la validez de los certificados TLS, tal como se detalla en la votación titulada “SC-081: Introducir un cronograma de reducción de períodos de validez y reutilización de datos.”

Al implementar tales medidas, Apple busca mitigar los riesgos asociados con las vidas útiles más largas de los certificados, asegurando que los certificados sean renovados con mayor frecuencia y, por lo tanto, mejorando la postura general de seguridad de las comunicaciones web.

Las organizaciones que dependen de conexiones web seguras y transacciones electrónicas deben monitorear de cerca estos desarrollos para garantizar la continuidad del negocio, mantener operaciones eficientes y mantener una sólida postura de seguridad.

 

La Evolución de los Períodos de Validez de los Certificados

El camino hacia duraciones más cortas de los certificados ha estado en marcha durante más de una década, marcado por una clara trayectoria de disminución de la validez. Una revisión retrospectiva de esta progresión histórica revela un patrón consistente:

  • En 2012, los certificados podían permanecer válidos hasta 60 meses (5 años).
  • Para 2015, esta validez máxima se redujo a 39 meses.
  • En 2018, se hizo otro ajuste a 825 días.
  • Luego, en 2020, la industria alcanzó el estándar actual de 398 días (aproximadamente 13 meses).

Esta reducción gradual subraya la creciente conciencia de la comunidad de ciberseguridad de que los certificados de larga duración conllevan riesgos de seguridad significativos. Cada disminución sucesiva ha enfatizado la importancia de equilibrar la seguridad mejorada con la viabilidad operativa. El período actual de 398 días representa un compromiso crítico que permite a las organizaciones establecer ciclos de renovación anuales manejables mientras mejora simultáneamente la seguridad en comparación con los períodos de validez más largos anteriores.

 

La Nueva Ola de Reducciones en la Duración de los Certificados

La estabilidad relativa del período de 398 días ahora enfrenta desafíos significativos de dos proveedores de navegadores líderes. En marzo de 2023, los proyectos Chromium de Google hicieron titulares al anunciar la intención de reducir el período de validez máxima para los certificados TLS públicos a solo 90 días. Esta iniciativa, que forma parte de la hoja de ruta “Moving Forward, together” de Google, indica un cambio dramático en el enfoque de la industria hacia la gestión de certificados.

En contraste, Apple ha adoptado una posición aún más asertiva. Durante una reunión del CA/Browser Forum en octubre de 2023, Apple presentó un borrador de votación que proponía una reducción gradual de los períodos máximos de validez de los certificados. Inicialmente, la propuesta buscaba alcanzar 45 días para 2027, pero desde entonces se ha actualizado para reflejar un plazo y un período de validez ligeramente ampliados. Esta evolución señala un momento clave en la forma en que las organizaciones abordarán la gestión de certificados digitales en el futuro.

La línea de tiempo actualizada de Apple ahora propone:

  1. 15 de marzo de 2026: Validez máxima reducida a 200 días
  2. 15 de marzo de 2027: Reducción adicional a 100 días
  3. 15 de marzo de 2028: Reducción final a 47 días

 

Además, la propuesta de Apple incluye una reducción gradual del período de reutilización de la Validación de Control de Dominio (DCV), que eventualmente requerirá una revalidación cada 10 días para finales de 2027 o 2028. Este aspecto de la propuesta es particularmente significativo, ya que afecta con qué frecuencia debe verificarse la propiedad del dominio.

Al aumentar la frecuencia de revalidación, Apple busca fortalecer las prácticas de seguridad relacionadas con la gestión de dominios, asegurando que la legitimidad de la propiedad del dominio se mantenga de manera consistente en un panorama de amenazas en constante evolución.

 

¿Por qué se están acortando las vidas útiles de los certificados?

La presión por períodos de validez más cortos para los certificados se ve impulsada por varias consideraciones de seguridad y operativas convincentes:

Seguridad mejorada a través de la reducción de la exposición

Las vidas útiles más cortas de los certificados reducen significativamente la ventana de oportunidad para que los atacantes exploten los certificados comprometidos. Cuando los certificados tienen períodos de validación más cortos, el daño potencial de una clave privada comprometida está inherentemente limitado por la fecha de expiración del certificado. Esta restricción sirve como un control de seguridad efectivo en una era de ataques cada vez más sofisticados.

Fomento de la automatización y las mejores prácticas

Quizás el aspecto más transformador de las vidas útiles más cortas de los certificados sea su capacidad para impulsar un cambio significativo de la gestión manual de certificados. Tanto Google como Apple han expresado explícitamente que uno de los principales objetivos de sus propuestas es alentar a las organizaciones a adoptar prácticas automatizadas de gestión de certificados.

Con los certificados que expiran con mayor frecuencia, depender de procesos manuales se vuelve cada vez más insostenible. Esta realidad obliga a las organizaciones a implementar soluciones de automatización para prevenir costosas interrupciones de servicio y garantizar el cumplimiento continuo de las normas en evolución de seguridad digital.

Aprovechar la automatización no solo agiliza el proceso de gestión, sino que también fortalece la defensa de una organización en un entorno de amenazas cibernéticas implacables.

Agilidad criptográfica

El panorama de la ciberseguridad está en constante evolución, caracterizado por la aparición de nuevas amenazas que a menudo vuelven obsoletos los estándares criptográficos más antiguos. Las vidas útiles más cortas de los certificados facilitan una adopción más rápida de nuevos estándares y protocolos criptográficos, lo cual es particularmente crítico a medida que nos acercamos al inicio de la computación cuántica.

Cuando los certificados requieren renovaciones más frecuentes, todo el ecosistema puede adaptarse rápidamente a las amenazas emergentes y a los estándares mejorados, permitiendo que las organizaciones se mantengan un paso adelante en sus medidas de seguridad. Esta agilidad es esencial no solo para mantener defensas robustas, sino también para garantizar la resiliencia frente a un entorno de amenazas en constante cambio.

Reducción de la dependencia de la revocación

Los mecanismos actuales de revocación de certificados, como las Listas de Revocación de Certificados (CRLs) y el Protocolo de Estado de Certificado en Línea (OCSP), presentan limitaciones conocidas en términos de rendimiento y privacidad. Al adoptar vidas útiles más cortas para los certificados, las organizaciones pueden disminuir significativamente su dependencia de estos mecanismos de revocación, ya que los certificados comprometidos naturalmente expireán más pronto.

Esta estrategia aborda eficazmente un desafío fundamental dentro del ecosistema de la Infraestructura de Clave Pública (PKI) y evita la necesidad de alteraciones drásticas en las infraestructuras de revocación existentes. De esta manera, las vidas útiles más cortas contribuyen a un proceso de gestión de certificados más eficiente y seguro, optimizando las operaciones mientras mejoran la seguridad general.

Alineación con el control del dominio

Otra ventaja de las vidas útiles más cortas de los certificados es la mejor alineación entre la validez del certificado y la propiedad del dominio. A medida que los dominios cambian de propietario con frecuencia y las organizaciones pasan por reestructuraciones o rebranding, las vidas útiles más cortas ayudan a garantizar que los certificados reflejen con precisión el estado actual de la propiedad del dominio.

Esta práctica reduce significativamente el riesgo de que los certificados permanezcan válidos mucho después de que se hayan producido cambios organizacionales. Al mantener los certificados sincronizados con los últimos detalles de propiedad, las organizaciones pueden mejorar su postura de seguridad y minimizar el potencial de uso indebido asociado con certificados desactualizados.

 

Los Desafíos Operativos de las Duraciones Más Cortas de los Certificados

Aunque las ventajas de seguridad de las duraciones más cortas de los certificados son evidentes, las implicaciones operativas son sustanciales y potencialmente disruptivas:

Aumento de la Frecuencia de Renovación

El desafío más evidente es el aumento significativo en las actividades de renovación de certificados. La transición de certificados de 398 días a certificados de 47 días se traduce en un incremento en la frecuencia de renovación de más de ocho veces. Para las organizaciones que gestionan miles de certificados, esto representa un aumento considerable en la carga de trabajo si no se automatiza adecuadamente.

Riesgo de Interrupciones y Fallas

Las interrupciones relacionadas con los certificados ya son un problema prevalente para muchas organizaciones. La expiración inesperada de un certificado TLS puede hacer que sitios web sean inaccesibles, causar fallas en aplicaciones y detener las operaciones comerciales. Con duraciones de certificados más cortas, la probabilidad de tales interrupciones aumenta proporcionalmente si los procesos de gestión de certificados no se actualizan.

Restricciones de Recursos para Organizaciones Más Pequeñas

Mientras que las grandes empresas suelen tener equipos dedicados y herramientas avanzadas para la gestión de certificados, las organizaciones más pequeñas generalmente carecen de estos recursos y pueden encontrar difícil satisfacer las demandas operativas incrementadas asociadas con la gestión de certificados que tienen vidas útiles significativamente más cortas. Esta disparidad podría crear nuevas vulnerabilidades de seguridad en todo el ecosistema digital.

Complejidad de la Transición

Adaptar los procesos organizacionales, actualizar herramientas y capacitar al personal para acomodar ciclos de vida de certificados más cortos presenta un desafío de transición sustancial. Las organizaciones que están acostumbradas a ciclos de renovación anuales necesitarán revisar fundamentalmente sus prácticas de gestión.

Preparándose para el Futuro: Mejores Prácticas para la Adaptación

Dada la inevitabilidad de las vidas útiles más cortas de los certificados, las organizaciones deberían comenzar a prepararse ahora en lugar de esperar a que estos cambios se vuelvan obligatorios. Aquí hay estrategias esenciales para adaptarse a esta nueva realidad:

Adoptar la Automatización como una Necesidad

El paso más crítico es implementar una automatización completa del ciclo de vida de los certificados. La gestión manual de certificados simplemente no será sostenible con vidas útiles de 47 días o incluso 90 días. Las herramientas de automatización pueden manejar todo el ciclo de vida del certificado, desde la generación de claves y la presentación de CSR hasta la instalación y renovación. Este enfoque no solo reduce el riesgo de interrupciones, sino que también libera a los equipos de TI de tareas repetitivas y propensas a errores.

Establecer Visibilidad Completa de los Certificados

No se puede gestionar lo que no se puede ver. Muchas organizaciones carecen de visibilidad sobre su inventario de certificados, y un estudio indica que el 62% de los encuestados no sabe cuántos certificados tienen. Implementar herramientas y procesos para descubrir, monitorear y rastrear todos los certificados en la organización es una base esencial para una gestión efectiva de certificados.

Desarrollar Sistemas de Alerta Robustos

Incluso con la automatización, los sistemas de monitoreo y alerta siguen siendo cruciales. Estos sistemas deben proporcionar advertencias tempranas para los certificados que se acercan a la expiración, permitiendo que los equipos aborden cualquier problema antes de que causen interrupciones. Idealmente, la alerta debe ser multicanal y escalar de manera adecuada según la criticidad del certificado y la proximidad a la expiración.

Educar a las Partes Interesadas en Toda la Organización

La gestión de certificados no es solo una función de seguridad de TI; afecta a los equipos de desarrollo, operaciones e incluso a las unidades de negocio que dependen de aplicaciones aseguradas por certificados. Educar a las partes interesadas en toda la organización sobre la importancia de la gestión de certificados y las implicaciones de las vidas útiles más cortas ayuda a construir una cultura de responsabilidad compartida.

Considerar una PKI Privada para Certificados Internos

Mientras que los certificados de confianza pública están sujetos a los períodos de validez que exigen los proveedores de navegadores, los certificados internos gestionados a través de una PKI privada pueden seguir reglas diferentes. Las organizaciones deberían evaluar si algunos casos de uso se beneficiarían más de una infraestructura de PKI interna, que ofrece más flexibilidad en la gestión de los ciclos de vida de los certificados.

 

El Futuro de la Gestión de Certificados

La tendencia hacia vidas útiles más cortas de los certificados no muestra signos de reversión. De hecho, en ciertos entornos, como aplicaciones en contenedores y pipelines de DevOps, las vidas de los certificados ya se miden en horas o minutos en lugar de días. Esto sugiere que el futuro de la gestión de certificados radica en sistemas totalmente automatizados y basados en API que pueden manejar las operaciones del ciclo de vida de los certificados a la velocidad de la máquina.

Las organizaciones que se adapten con éxito a estos cambios no solo obtendrán una seguridad mejorada, sino también una infraestructura más ágil y resistente. El cambio hacia la automatización, aunque inicialmente impulsado por la necesidad, ofrece, en última instancia, beneficios operativos que van más allá de la mera conformidad con los nuevos estándares.

Conclusión

La reducción de la duración de los certificados TLS representa tanto una mejora en la seguridad como un desafío operativo. Al comprender la lógica detrás de estos cambios e implementar proactivamente las estrategias discutidas anteriormente, las organizaciones pueden navegar con éxito esta transición mientras fortalecen su postura general de seguridad.

Si bien el cronograma exacto para estos cambios todavía puede evolucionar a través de discusiones en la industria y procesos de aprobación formal, la dirección es clara. Los períodos de validez de los certificados están disminuyendo, y las organizaciones que comiencen a prepararse ahora estarán bien posicionadas para manejar estos cambios sin interrumpir sus operaciones críticas.

La conclusión principal es que la automatización ya no es opcional; es un componente esencial de la gestión moderna de certificados. Al adoptar esta realidad e invertir en herramientas y procesos adecuados, las organizaciones pueden transformar lo que podría ser un desafío de cumplimiento gravoso en una oportunidad para mejorar sus operaciones de seguridad.

Fuentes:

https://github.com/cabforum/servercert/pull/553 

https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together/ 

https://www.globalsign.com/en/blog/90-days-to-47-certificate-lifespans-and-automation  

https://scotthelme.co.uk/are-shorter-certificates-finally-coming/

https://www.darkreading.com/cybersecurity-operations/navigating-the-future-with-shorter-tls-lifespans