Let’s Encrypt anuncia reducción de la validez de los certificados de 90 a 45 días (aplicación gradual hasta 2028)

 (letsencrypt.org)
17 puntos por davespark 2025-12-03 | 3 comentarios | Compartir por WhatsApp

Motivos del cambio

  • Requisitos de los estándares del CA/Browser Forum (se aplican por igual a todas las CA públicas del mundo)
  • Refuerzo de la seguridad en Internet (al acortarse la validez, se limita el alcance del daño en caso de hackeo y mejora la eficiencia de revocación)

Cambios en la validez de los certificados

  • Actualmente: 90 días
  • A partir de 2028: 45 días

Cambios en el período de reutilización de la validación de propiedad del dominio

  • Actualmente: 30 días
  • A partir de 2028: 7 horas

Calendario de aplicación por etapas (se aplicará a los certificados emitidos desde ese momento)

  • 13 de mayo de 2026: perfil opt-in (tlsserver) → comienza la emisión de certificados de 45 días (posible para pruebas)
  • 10 de febrero de 2027: perfil predeterminado (classic) → certificados de 64 días + reutilización de validación por 10 días
  • 16 de febrero de 2028: perfil predeterminado (classic) → certificados de 45 días + reutilización de validación por 7 horas

Qué deben hacer los usuarios

  • La mayoría de los usuarios con renovación automática: no se requiere ninguna acción adicional
  • Aun así, es imprescindible verificar que el ciclo de renovación automática sea compatible con certificados de 45 días
  • Acciones recomendadas
    • Activar la función ACME Renewal Information (ARI) (indica el momento exacto de renovación)
    • Clientes sin soporte para ARI: configurar la renovación alrededor del punto de 2/3 de vida del certificado
    • No se recomienda la renovación manual (habrá que hacerla demasiado seguido)
    • Es indispensable implementar un sistema de monitoreo de vencimiento de certificados

Nuevas funciones para facilitar la automatización (previstas para 2026)

  • Se impulsa la estandarización del nuevo desafío DNS-PERSIST-01
  • Característica: con configurar una sola vez el registro DNS TXT, ya no será necesario cambiarlo en cada renovación
  • → renovación totalmente automática posible incluso sin permisos para actualización automática de DNS

Enlace al anuncio oficial https://letsencrypt.org/2025/12/02/from-90-to-45

Conclusión: para 2028, todos los usuarios de Let’s Encrypt necesitarán como base un entorno con renovación automática cada 45 días + ARI + monitoreo.

Lecturas relacionadas

3 comentarios

 
popopo 2025-12-05

Como uso certificados en mi homelab, ya estaba pendiente de TLS2030 y preparándome.

Como en Proxmox o Nginx Proxy Manager se puede emitir automáticamente el certificado de Let's Encrypt, no hay un problema particular con los dominios individuales.

Como los certificados wildcard hay que emitirlos una vez y usarlos en varios sistemas, un sistema como Hashicorp Vault se vuelve indispensable. ¿Habrá otra forma?

https://wiki.jellypo.pe.kr/ko/IT_Infra/Certificate

Lo configuré con una arquitectura así, pero FreeIPA no es indispensable. Vault pasa a ser la CA raíz en vez de una CA intermedia, y basta con registrar la CA raíz como CA de confianza en cada sistema.

Con FreeIPA también se registra como CA de confianza al instalar el cliente de FreeIPA, así que la cuestión es si usar FreeIPA o registrar la CA de confianza con Ansible u otra herramienta.

Usar FreeIPA tiene la ventaja de poder aprovecharlo como DNS interno, pero como considero que la dificultad de instalación, operación y manejo de fallas es bastante alta, me parece mejor usar solo Vault.
 
byun1114 2025-12-04

Uso un certificado wildcard emitido; no sé cómo cambiará esto.
 
techiemann 2025-12-04

Para los usuarios individuales...