Los administradores de certificados digitales enfrentan un cambio estructural: el CA/Browser Forum, mediante el ballot SC095v3, ha aprobado modificaciones a los Baseline Requirements bajo el marco de la RFC 3647, que reducen drásticamente los períodos de validez de los certificados SSL/TLS.
Reducción progresiva de vigencia: ¿qué cambia?
La sección 6.3.2 Certificate operational periods and key pair usage periods establece un nuevo cronograma:
| Vigencia máxima | Fecha de entrada en vigor |
|---|---|
| 398 días | Vigente desde 2020 |
| 200 días | 15 de marzo de 2026 |
| 100 días | 2027 |
| 47 días | 2029 |
Este recorte ya comenzó a aplicarse: varias CAs públicas, como CertiSur, han implementado el cambio desde el 24 de febrero de 2026.
¿Por qué importa?
Un solo certificado vencido puede dejar fuera de línea servicios críticos. El caso de Epic Games y Fortnite, con horas de caída y pérdidas millonarias, es un ejemplo claro del impacto operativo y reputacional que puede tener una renovación fallida.
Estrategias clave para especialistas en seguridad
En un reciente post el COO de CertiSur propone un enfoque integral que trasciende lo técnico y exige liderazgo:
- Automatización de renovaciones. Protocolos como ACME o plataformas de Certificate Lifecycle Management permiten renovar sin intervención manual, reduciendo errores y tiempos muertos.
- Visibilidad total del inventario. Descubrimiento automático, responsables asignados y dashboards centralizados permiten anticipar riesgos antes de que se conviertan en incidentes.
- Gobernanza y gestión de riesgo. Integrar la gestión de certificados en la matriz de riesgos, con políticas formales y trazabilidad, fortalece el cumplimiento normativo.
- Alertas y monitoreo proactivo. Reglas de escalamiento y notificaciones automatizadas aseguran que ningún vencimiento pase desapercibido.
- Planes de contingencia y respuesta rápida. Procedimientos de emisión urgente, SLA internos y roles definidos permiten mitigar el impacto ante imprevistos.
Este nuevo escenario exige que los equipos de seguridad no solo ajusten sus procesos, sino que eleven la gestión de certificados al nivel estratégico, con foco en continuidad operativa, experiencia del cliente y reputación digital.
Herramientas
El Internet Security Research Group (ISRG) proporciona implementaciones de referencia gratuitas y de código abierto para ACME: Certbot es una implementación basada en Python de software de gestión de certificados de servidor que utiliza el protocolo ACME. Certbot es una herramienta para usar automáticamente certificados Let's Encrypt en sitios web administrados manualmente y así habilitar HTTPS.
Certimate es una herramienta autohospedada, basada en el protocolo ACME, de código abierto y gratuita, que automatiza visualmente todo el ciclo de emisión, implementación, renovación y monitorización de certificados.
Fuentes:
El problema es que de momento son pocas laa CA y aplicaciones/firewalls que están preparadas para funcionar con ACME. Esperemos que agreguen soporte rápido las que faltan.
ResponderBorrar