La vigencia de los certificados TLS se reducirá oficialmente a 47 días

 (digicert.com)
16 puntos por GN⁺ 2025-04-17 | 1 comentarios | Compartir por WhatsApp
  • Reducción de la vigencia de los certificados TLS: El CA/Browser Forum decidió reducir la vigencia de los certificados TLS. Se prevé que la vigencia de los certificados se reduzca a 47 días para 2029
  • Importancia de la automatización: Debido a la reducción de la vigencia de los certificados, la automatización se vuelve indispensable. Apple sostiene que la automatización es esencial para la gestión del ciclo de vida de los certificados
  • Problema de confiabilidad de la información del certificado: La confiabilidad de la información del certificado disminuye con el tiempo, por lo que se necesita una reverificación frecuente
  • Problemas del sistema de revocación de certificados: Los sistemas de revocación de certificados que usan CRL y OCSP no son confiables, y los periodos de vigencia cortos pueden mitigar esto
  • Costos y soluciones de automatización: El costo de reemplazar certificados se basa en suscripciones anuales, y mediante la automatización muchas veces se eligen voluntariamente ciclos de reemplazo más rápidos

Reducción de la vigencia de los certificados TLS

  • El CA/Browser Forum decidió oficialmente reducir la vigencia de los certificados TLS
  • A partir de marzo de 2026, la vigencia de los certificados se reducirá a 200 días; en 2027, a 100 días; y en 2029, a 47 días
  • El periodo de reutilización de la información de validación de dominios y direcciones IP también se reducirá a 10 días para 2029

Qué significan 47 días

  • 47 días equivalen a 1 mes (31 días), la mitad de 30 días (15 días) y 1 día adicional de margen
  • Apple enfatiza que la automatización es esencial para la gestión del ciclo de vida de los certificados

Problema de confiabilidad de la información del certificado

  • La confiabilidad de la información del certificado disminuye con el tiempo, por lo que se necesita una reverificación frecuente
  • Los sistemas de revocación de certificados no son confiables, y los periodos de vigencia cortos pueden mitigar esto

Necesidad de automatización

  • Debido a la reducción de la vigencia de los certificados, la automatización es indispensable
  • DigiCert ofrece diversas soluciones de automatización a través de Trust Lifecycle Manager y CertCentral

Información adicional y suscripción al blog

  • Se puede consultar la información más reciente sobre gestión de certificados, automatización y TLS/SSL en el blog de DigiCert
  • Para obtener información más detallada sobre las soluciones de automatización, es posible contactar a DigiCert

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-04-17
Comentarios en Hacker News

  • "Me pregunto cuál es el objetivo final aquí. Estoy de acuerdo con las opiniones en contra. ¿Por qué no hacerlo de 30 segundos?"

    • "Si ya pasamos el umbral en el que hay que automatizar todo hasta el punto de que usar TLS ya casi no sea viable de otra forma, me pregunto por qué habría que ofrecer una vigencia mayor a 48 horas"
    • "Esto se siente más como una misión ideológica que como algo práctico. No sé si hay algún beneficio económico o de poder en obligar a cambiar toda la infraestructura cada mes"

  • "Trabajando con grandes empresas, he visto que, a medida que los tiempos de expiración se acortan cada vez más, la mayoría termina usando certificados firmados internamente"

    • "Los certificados públicos se usan en dispositivos de borde / balanceadores de carga, pero los servicios internos usan certificados firmados por una CA interna con tiempos de expiración largos"
    • "Es por la gran cantidad de aplicaciones en las que usar certificados es engorroso"

  • "Como se dijo en otro hilo, esto eliminará la posibilidad de crear una CA propia para tus propios subdominios"

    • "Solo las grandes CA integradas en el navegador podrán tener certificados de CA propia con la vigencia que quieran"
    • "Desde el punto de vista de la seguridad, esto es un arma de doble filo"
    • "Si todos se acostumbran a que los certificados cambien todo el tiempo y desaparece el certificate pinning, será más difícil notar cuando China o una empresa entregue un certificado falso"
    • "En vez de sistemas cerrados, todas las máquinas del mundo tendrán que estar conectadas casi permanentemente a servidores aleatorios de certificados para actualizaciones del sistema"
    • "Si los servidores de Digicert o Letsencrypt, o un 'cliente de actualización de certificados', son hackeados o tienen un problema de seguridad, la mayoría de los servidores del mundo podrían verse comprometidos en muy poco tiempo"

  • "Me da risa la siguiente explicación del artículo"

    • "47 días puede parecer un número arbitrario, pero es una cadena simple"
    • "47 días = máximo un mes (31 días) + 1/2 de 30 días (15 días) + 1 día de margen"
    • "Entonces 47 no es arbitrario, pero 1 mes, 1/2 mes y 1 día sí que no lo son"

  • "Como autoridad certificadora, una de las preguntas que más seguido nos hacen los clientes es si cambiar certificados con más frecuencia genera un costo adicional"

    • "La respuesta es no. El costo se basa en una suscripción anual"
    • "Digicert, detente un momento. El precio se basa en una suscripción anual. El costo para la CA en realidad aumenta de forma minúscula, pero ya está casi en cero"
    • "Operar una CA es uno de los negocios más fáciles del mundo"

  • "Configuramos el monitoreo para que envíe una alerta no crítica de 'puede esperar hasta el lunes' cuando a un certificado SSL le quedan 14 días o menos para expirar, y una alerta de 'no molestar' cuando faltan 48 horas para el vencimiento"

    • "Hace unos años cert-manager entró en un estado raro, así que la próxima vez me gustaría enterarme con anticipación"

  • "Ojalá el cifrado y la identidad no estuvieran tan estrechamente vinculados en los certificados"

    • "Al emitir un certificado siempre me preocupo por el cifrado, pero a veces no me importa la identidad"
    • "Cuando solo te importa el cifrado, tienes que cargar con la obligación adicional de preocuparte por la identidad"

  • "Me pregunto si, cuando esto entre en vigor, todos los Chromecast volverán a dejar de funcionar"

    • "Por la reacción de Google durante la caída de Chromecast a principios de este año, Chromecast parece operar con personal mínimo y no tendrá recursos para automatizar la renovación de certificados"

  • "Con la automatización y los certificados de corta duración, las autoridades certificadoras se parecen más a un OpenID Provider"

    • "Una parte importante de la seguridad pasa a concentrarse en cómo la autoridad certificadora valida la propiedad del dominio"
    • "Tal vez los clientes puedan hacer la verificación directamente sin depender del certificado"
    • "Por ejemplo, al conectarse a un servidor, el cliente podría enviar dos valores únicos y el servidor tendría que crear un registro DNS"
    • "Sería autenticación mediante DNS. Habría que acelerar el sistema DNS"

  • "Esto va a romper la dependencia del certificate pinning en dos lugares interesantes"

    • "Apps móviles"
    • "APIs empresariales. Muchas compañías fijan certificados y se quejan cuando rotamos el certificado"
    • "Un período de 47 días las obligará a rotar automáticamente ese pinning"

  • "La suposición aquí es que la clave privada puede verse comprometida con más facilidad que el secreto o mecanismo usado para emitir el certificado"

    • "No estoy seguro de esa parte"