La seguridad de Internet está a punto de experimentar uno de los cambios más importantes de los últimos años. La industria de certificados digitales decidió reducir de forma progresiva la vigencia máxima de los certificados TLS públicos (la tecnología que cifra el tráfico web) hasta solo 47 días, lo que pondría fin a los certificados de un año.
La decisión fue aprobada por el CA/Browser Forum, el organismo internacional que establece las reglas que siguen las autoridades certificadoras y los principales navegadores web. Aunque el cambio suena abrupto, se prevé que sea progresivo y en los próximos cuatro años pase de una vigencia máxima de 398 días hasta quedar en 47.
Para el usuario común este cambio será prácticamente invisible, pero para las organizaciones que operan servicios en Internet (desde bancos hasta plataformas de comercio electrónico) este cambio implicará transformar la forma en que gestionan sus certificados digitales y automatizar procesos que hoy muchas empresas aún realizan manualmente.
Qué es un certificado TLS y por qué es fundamental para Internet
Cada vez que un usuario visita un sitio web y ve el icono de candado en el navegador, significa que la comunicación está protegida mediante el protocolo Transport Layer Security (TLS).
Este protocolo cifra la información que viaja entre el navegador del usuario y el servidor web, evitando que terceros puedan interceptar datos sensibles como:
- Contraseñas.
- Números de tarjeta.
- Información personal.
- Datos corporativos.
TLS es el sucesor del antiguo protocolo Secure Sockets Layer (SSL) y hoy es el estándar global para proteger el tráfico web.
El certificado TLS funciona como una credencial digital que verifica la identidad del sitio web, garantizando que el usuario realmente está conectado al servidor correcto.
Por ejemplo:
* Cuando accedes a la banca en línea.
* Cuando realizas una compra en una tienda digital.
* Cuando inicias sesión en un servicio web.
En todos estos casos el Transport Layer Security (TLS) protege la conexión.
El calendario para la reducción de certificados digitales
Actualmente, los certificados TLS públicos pueden tener una vigencia máxima de 398 días. Sin embargo, esta duración se reducirá gradualmente en los próximos años.
El calendario aprobado es el siguiente:
Fecha | Vigencia máxima de certificados |
Hasta marzo de 2026 | 398 días |
Marzo de 2026 | 200 días |
Marzo de 2027 | 100 días |
Marzo de 2029 | 47 días |
Esto significa que, para 2029, las organizaciones deberán renovar sus certificados aproximadamente cada mes y medio.
¿Por qué la industria quiere certificados de corta duración?
La reducción del tiempo de vigencia responde a varios objetivos de seguridad.
- Reducir el impacto de certificados comprometidos
Si un atacante roba una clave privada o se emite un certificado incorrectamente, el tiempo durante el cual puede explotarse será mucho menor.
En términos simples:
- Antes un certificado comprometido podía utilizarse durante casi un año.
- En el futuro solo será válido como máximo 47 días.
Esto limita significativamente el daño potencial.
2. Rotar claves criptográficas con mayor frecuencia
Las claves criptográficas que protegen las conexiones TLS también se renovarán con mayor frecuencia.
Una analogía sencilla: es como cambiar la cerradura de una puerta regularmente, en lugar de
usar la misma llave durante años. Esto reduce la posibilidad de que una clave filtrada siga siendo útil durante mucho tiempo.
3. Reducir la dependencia de sistemas de revocación
Cuando un certificado debe invalidarse antes de su expiración, se utilizan mecanismos
como:
- Online Certificate Status Protocol (OCSP)
- Certificate Revocation List (CRL)
Sin embargo, estos sistemas no siempre funcionan de forma perfecta en todos los entornos. Los certificados de corta duración reducen la necesidad de revocarlos, ya que expiran rápidamente.
4. Preparar el ecosistema para nuevos modelos criptográficos
La industria también se prepara para la llegada de tecnologías como la Post-quantum cryptography, diseñadas para resistir ataques de futuras computadoras
cuánticas.
Certificados con ciclos de vida más cortos facilitan la adopción rápida de nuevos algoritmos criptográficos cuando sea necesario.
El reto para las organizaciones: gestionar miles de certificados
El principal impacto de esta medida será operativo.
Muchas organizaciones todavía administran certificados de forma manual, lo que puede provocar problemas cuando la frecuencia de renovación aumenta.
Entre los riesgos más comunes están:
- certificados expirados que bloquean servicios
- interrupciones en aplicaciones web
- sobrecarga para equipos de TI
- dificultad para identificar todos los certificados activos
En infraestructuras modernas —especialmente en entornos cloud o de microservicios— es común encontrar cientos o miles de certificados en uso.
Un ejemplo real: si el certificado de un servidor web expira, los usuarios verán un mensaje de seguridad en su navegador indicando que la conexión no es segura, lo que puede afectar operaciones críticas como pagos o autenticación.
La automatización será imprescindible
Ante este escenario, la industria se está moviendo hacia la automatización completa del ciclo de vida de certificados.
Una de las tecnologías más utilizadas es el protocolo ACME, impulsado por iniciativas como Let’s Encrypt, que permite emitir y renovar certificados automáticamente.
Muchas empresas están adoptando soluciones como:
- plataformas de Certificate Lifecycle Management (CLM)
- automatización en pipelines DevOps
- renovación automática en servidores web y balanceadores
- gestión centralizada de certificados
Estas herramientas reducen el riesgo de errores humanos y garantizan renovaciones continuas.
Qué certificados sí y cuáles no se verán afectados
El cambio aprobado aplica principalmente a certificados TLS públicos confiados por navegadores.
Esto significa que la medida impactará sobre todo a:
- sitios web públicos
- APIs accesibles desde Internet
- servicios digitales abiertos a usuarios
Las infraestructuras internas de certificados corporativos —como las utilizadas en redes empresariales privadas— pueden seguir utilizando periodos de vigencia definidos por sus propias políticas de seguridad.
Un cambio técnico que acelerará la automatización
La reducción de la vigencia de los certificados TLS a 47 días representa un cambio estructural en la seguridad de Internet.
Aunque el objetivo es mejorar la protección global frente a certificados comprometidos y facilitar futuras transiciones criptográficas, también obligará a las organizaciones a modernizar sus procesos.
En los próximos años veremos una adopción mucho mayor de:
- automatización de certificados
- gestión centralizada
- integración con prácticas DevSecOps
Las empresas que comiencen a prepararse ahora estarán mejor posicionadas para evitar interrupciones, reducir riesgos y adaptarse al nuevo estándar de seguridad web.
