El futuro del SSL: el reto inminente y cómo prepararte para el futuro
La reciente decisión del CA/Browser Forum marca un antes y un después en la historia del ecosistema de confianza en internet. Por abrumadora mayoría, navegadores y autoridades certificantes acordaron reducir de forma progresiva la validez máxima de los certificados SSL/TLS hasta llegar a apenas 47 días en 2029.
Nota de opinión de Néstor Markowicz, COO de CertiSur.
¿Cómo llegamos hasta acá?
La historia de los certificados digitales está marcada por una constante tensión entre seguridad y operatividad. Durante años, la validez de los certificados fue reduciéndose: de 5 años en los primeros tiempos, a 3, luego 2, y desde 2020, 1 año como máximo. Esta evolución respondió a incidentes de seguridad, brechas en Autoridades Certificantes y la necesidad de evitar que un certificado comprometido permanezca activo por demasiado tiempo.
Los navegadores, liderados por Apple, Google y Mozilla, vienen impulsando estos cambios con el objetivo de fortalecer la seguridad del ecosistema. La lógica es clara: certificados más cortos implican menor ventana de exposición en caso de una clave comprometida.
Pero este nuevo salto es de una magnitud inédita.
El nuevo cronograma
La decisión establece una reducción en tres etapas:
- Marzo 2026: validez máxima de 200 días.
- Marzo 2027: se reduce a 100 días.
- Marzo 2029: el límite será de solo 47 días.
Esto representa un cambio estructural en la forma en que las organizaciones gestionan su infraestructura de confianza digital.
¿Qué implica esto para las empresas?
La principal consecuencia es clara: ya no será viable seguir renovando certificados de forma manual. Con decenas o cientos de certificados en una organización, ciclos de validez tan cortos harán inviable una gestión tradicional.
La única forma de adaptarse es mediante la automatización del ciclo de vida de los certificados: emisión, renovación, implementación y monitoreo. Las empresas deben revisar sus políticas internas, auditar su parque de certificados y adoptar herramientas que permitan automatizar estas tareas de forma segura y confiable.
En este contexto, contar con un partner tecnológico confiable y con sólida experiencia en implementaciones similares es clave para garantizar el éxito del proyecto. La elección de un socio estratégico que comprenda la complejidad del ecosistema PKI, que cuente con soluciones robustas de discovery y automation, y que pueda acompañar la integración con los sistemas internos de la organización, puede marcar la diferencia entre una transición ordenada y un escenario lleno de riesgos operativos.
Ignorar este cambio no es una opción. Un certificado vencido implica la caída de servicios críticos, interrupciones operativas, pérdida de reputación y posibles sanciones regulatorias en sectores sensibles como finanzas o salud.
Un cambio necesario (y posible)
Aunque el cambio puede parecer disruptivo, también es una oportunidad para modernizar la gestión de identidad digital dentro de las organizaciones. La buena noticia es que las soluciones existen, tanto en el sector público como en el privado, y permiten anticiparse a estos cambios con tiempo.
El primer paso es informarse, el segundo es diagnosticar, y el tercero, automatizar.
Este nuevo paradigma nos desafía a mejorar nuestros procesos y adoptar tecnologías más ágiles. En la era del riesgo digital, la confianza no es estática: se construye, se renueva y, sobre todo, se automatiza.
En el blog de DigiCert pueden leer una nota sobre este tema.