En un movimiento que redefinirá el panorama de la seguridad digital en los próximos años, el CA/Browser Forum ha decidido acortar drásticamente la vida útil de los certificados TLS, estableciendo un límite máximo de validez de tan solo 47 días para 2029. Este cambio, impulsado por gigantes tecnológicos como Apple y Google, marca un hito importante para el ecosistema digital y tiene profundas implicaciones para la gestión de certificados en la web.
La propuesta, formalizada a través de la “Ballot SC-81” presentada por Apple, fue aprobada en abril de 2025 tras intensos debates con fabricantes de navegadores y autoridades de certificación. Google, que anteriormente defendía un límite de 90 días, se unió rápidamente al consenso, dejando claro que la gestión manual de los certificados se convertirá en algo del pasado.
Históricamente, los certificados TLS tenían una validez que se extendía por años, pero sufrían reducciones progresivas, ya que el límite actual más estricto es de 398 días. El nuevo plan implica un calendario gradual que reducirá la validez máxima a 200 días en 2026, 100 días en 2027, y finalmente a 47 días en 2029.
Las razones detrás de este cambio radical son contundentes. Apple y sus aliados sostienen que los certificados con periodos largos de vigencia pierden fiabilidad debido al envejecimiento de la información que contienen. Además, el sistema tradicional de revocación, mediante CRL y OCSP, presenta numerosos inconvenientes, incluyendo conectividad poco fiable y comprobaciones que a menudo son ignoradas por los navegadores. La experiencia acumulada en el uso de certificados de corta duración ha demostrado ser positiva, lo que refuerza la práctica de combinarlos con procesos automatizados.
Organizaciones como Let’s Encrypt han demostrado que la emisión masiva de certificados de 90 días puede llevarse a cabo de manera eficiente y económica mediante el uso del protocolo ACME, un estándar que automatiza la gestión del ciclo de vida de los certificados y que se perfila como la solución inevitable para afrontar este nuevo escenario.
Esta transformación traerá consigo desafíos para empresas, proveedores de hosting y administradores de sistemas, quienes deberán ajustar sus prácticas para cumplir con los nuevos requisitos. No se trata solo de automatizar la renovación de certificados, sino de integrar la nueva realidad de ciclos de vida cortos en sus infraestructuras críticas, como balanceadores de carga, dispositivos de red y sistemas legacy.
Para enfrentar este desafío, las organizaciones deberán realizar una auditoría exhaustiva de todos sus certificados actuales, adoptar soluciones de automatización como ACME, y rediseñar sus procesos internos para incorporar la emisión y renovación de certificados en sus ciclos estándar de cambios.
Este ajuste no sólo impactará a grandes corporaciones; las pymes también deberán prepararse para abandonar sus métodos manuales de renovación. Herramientas gratuitas y comerciales basadas en ACME están disponibles para automatizar estos procesos, minimizando así el riesgo de caducidades inesperadas.
Frente a un panorama en el que los certificados wildcard y otros deberán seguir normas de vigencia más estrictas, la industria está obligada a adaptarse rápidamente. La reducción de la vida útil de los certificados TLS no es un simple ajuste, sino un imperativo hacia un ecosistema digital más seguro y ágil, en el que la automatización se convierte de una opción interesante a un requisito imprescindible. Las organizaciones deben comenzar a transitar este camino hoy mismo para adaptarse a las exigencias del mañana.
