En el corazón de la infraestructura de la web moderna se encuentra una silenciosa pero crucial revolución. Let’s Encrypt, la autoridad de certificación que ha democratizado y simplificado el acceso a HTTPS, está implementando un cambio significativo en la duración de sus certificados, ajustando su validez máxima a 45 días a partir de 2028, en un movimiento que promete transformar la seguridad en línea.
Este ajuste no es un mero capricho de la organización, sino parte de un cambio más amplio en toda la industria, impulsado por el CA/Browser Forum. Este foro, que establece directrices entre los navegadores web y las autoridades de certificación, ha adoptado una propuesta iniciada por Apple para reducir la duración máxima de los certificados públicos a 47 días, exceptuando a los certificados raíz. Let’s Encrypt se alinea así con estos nuevos estándares y añade sus propios ajustes específicos.
Para los equipos de operaciones y seguridad, incluyendo DevOps y Site Reliability Engineering (SRE), el mensaje es claro: el futuro de los certificados digitales está en la corta duración y en la automatización total de su renovación. Este cambio se implementará gradualmente, con tres fases clave iniciando con pruebas opcionales en 2026 y culminando con la nueva norma en 2028.
La primera fase, programada para mayo de 2026, ofrecerá un perfil ACME opcional que permitirá a los early adopters testear sus sistemas con certificados de 45 días. En febrero de 2027, la fase intermedia ajustará el perfil clásico a 64 días, reduciendo también el periodo de reutilización de autorizaciones de dominio de 30 a 10 días. Finalmente, en 2028, se establecerá el límite de 45 días como norma general, con un periodo de reutilización de autorizaciones de apenas 7 horas.
Desde una perspectiva de seguridad, esta nueva política ofrece varios beneficios significativos. Al reducir el tiempo de vigencia de los certificados, se minimiza el impacto potencial de una clave privada comprometida. Además, disminuye la dependencia de mecanismos de revocación, que históricamente han demostrado ser poco fiables. De este modo, la rotación frecuente de claves se convertirá en una práctica estándar, reflejando las mejores prácticas en entornos tecnológicos modernos que tratan las credenciales como recursos efímeros.
Para facilitar la transición a este nuevo paradigma, Let’s Encrypt está promoviendo la adopción de la Información de Renovación ACME (ARI). Con ARI, la autoridad de certificación puede notificar al cliente ACME cuándo exactamente renovar un certificado, en vez de usar plazos fijos de renovación.
En la práctica, estas transformaciones sentencian a las renovaciones manuales al obsolescencia. La creciente frecuencia de renovaciones junto con ventanas de validación más cortas hace que cualquier proceso manual sea propenso a errores y a que los certificados caduquen más fácilmente.
Para auxiliar en la implementación de estas medidas, se está desarrollando un nuevo método de validación, DNS-PERSIST-01, que permitirá mantener un registro TXT persistente en DNS, reduciendo la necesidad de modificaciones constantes en cada ciclo de renovación.
Para las plataformas y proveedores, la adaptación a estas nuevas normas es imperativa. Revisar la lógica de renovación de certificados y asegurarse de que los clientes ACME soportan tiempos de vida más cortos serán pasos esenciales para enfrentar el futuro. Las empresas deberán reforzar la monitorización y establecer alertas específicas para evitar disrupciones en la seguridad.
En conjunto, el avance hacia certificados de corta duración representa mucho más que un ajuste en la configuración. Este cambio refleja una evolución estructural en cómo la web gestiona la confianza y la seguridad a gran escala, haciendo la capa de seguridad de la web más robusta y menos vulnerable a compromisos prolongados.
