Publicado el
14 de abril de 2025
Certificados TLS de 47 días: comprensión y adaptación a la nueva duración de los certificados numéricos
Resumen:
¿Cuál es la decisión del CA/Browser Forum sobre los certificados TLS?
¿Por qué la duración de los certificados es reducida a 47 días?
¿Quél est le calendrier de mise en œuvre de ces changements?
¿Cómo esta reducción va-t-elle impacta tu organización?
¿Por qué la automatización debe ser indispensable?
¿Qué soluciones existen para automatizar la gestión de certificados?
Preguntas frecuentes sobre los certificados TLS
¿Cuál es la decisión del CA/Browser Forum sobre los certificados TLS ?
El CA/Browser Forum, el organismo central que agrupa a los desarrolladores de navegadores web, a los emisores de certificados de seguridad y a otros actores del sector, requiere una modificación mayor de las normas para los certificados TLS. Desde 2029, la duración máxima de la vida de los certificados TLS ( Transport Layer Security ) pasó por separado 47 días, en comparación con 398 días actualmente.
El protocolo TLS utiliza estos certificados como mecanismo de autenticación para establecer conexiones seguras. Cada certificado contiene una clave pública que permite el intercambio de comunicaciones entre el navegador del usuario y el servidor web.
Esta reducción se acompaña de otro cambio significativo: el período durante el cual la información de validación de dominio (DCV - Validación de control de dominio) se podrá reutilizar será limitada a solo 10 días al término. Estas dos modificaciones crean un cambio fundamental en la gestión cotidiana de los certificados numéricos.
El voto fue adoptado por unanimidad por los proveedores de certificados (Apple, Google, Microsoft y Mozilla), así como por los emisores de certificados que aprobaron por 25 voces contra 0, con las cinco abstenciones de Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems y TWCA.
Este artículo detalla las implicaciones de esta decisión histórica y proporciona recomendaciones concretas para el adaptador.
¿Por qué la duración de los certificados es reducida a 47 días?
Apple es el origen de esta propuesta de reducción, para aplicar una estrategia implementada en 2020 cuando la empresa ha decidido de manera unificada que sus lógicas, principalmente Safari, no aceptan más los nuevos certificados HTTPS que caducan más de 13 meses después de su creación.
Le chiffre spécifique de 47 jours n'est pas arbitraire. Esta duración del resultado de un cálculo breve:
47 días = 1 mes máximo (31 días) + 1/2 mes de 30 días (15 días) + 1 día de margen
Esta duración permite una gestión mensual de certificados todos incluyendo un margen de seguridad.
Las motivaciones principales de esta reducción incluyen:
Mejora de la seguridad: Certificados de duración limitada del período durante la ejecución de la información obsoleta restante válida
Limitación de las consecuencias en caso de compromiso: Un certificado de compromiso o volé ne pourra être exploité que durante varios días o semanas al máximo antes de expirar, en lugar de más meses
Renovación más frecuente de claves criptográficas: reducción de riesgos de uso prolongado
Integración más rápida de los nuevos estándares de seguridad: Las nuevas versiones de protocolos de autenticación pueden implementarse más rápidamente
Un análisis del alma de ANSSI deja la importancia de una gestión automatizada de la duración de la vida de los certificados como elemento clave de una política de seguridad robusta, particularmente en un contexto en el que las amenazas evolucionan rápidamente.
¿Quél est le calendrier de mise en œuvre de ces changements?
La transición a los certificados de duración reducida sigue un calendario progresivo:
| Periodo | Durée de validité | Duración de la validez (alternativa) |
|---|---|---|
| Hoy - 15 de marzo de 2026 | 398 días | 398 días |
| 15 de marzo de 2026 - 15 de marzo de 2027 | 200 días | 200 días |
| 15 de marzo de 2027 - 15 de marzo de 2029 | 100 días | 100 días |
| À partir du 15 mars 2029 | 47 días | 10 días |
Este calendario escalonado para más años de organizaciones en el tiempo de adaptación progresiva, pero es importante comenzar los preparativos de mantenimiento. Cada etapa aumenta la presión sobre los equipos que se realizan manualmente con los certificados.
Según un estudio de Gartner , esta evolución hace parte de una tendencia más grande hacia una "hiperautomatización" de los procesos de seguridad, necesaria para hacer frente a la complejidad de los entornos numéricos.
Los protocolos de autenticación modernos exigen una verificación rigurosa de la identidad del solicitante para mantener la confianza en el sistema numérico. Esta evolución se produce a partir de certificados de duración de vida más cortas inscritas en esta lógica.
¿Cómo esta reducción va-t-elle impacta tu organización?
Las consecuencias de esta evolución son importantes para todas las organizaciones que utilizan los certificados TLS . Prenons l'exemple d'une entreprise gérant 500 certificados :
¿Está listo para proteger su infraestructura PKI?
Descubra cómo Evertrust puede ayudarle a gestionar sus certificados de forma eficiente y segura.
Aujourd'hui: avec des certificats valables 398 jours, l'organisation gère environ 460 renouvellements par an.
En 2029: con certificados válidos por 47 días, elle devra traidor más 3.900 renouvellements por año.
Validación de dominio: elle devra réaliser environ 18 250 validaciones de dominio anuales (500 dominios × 365 días ÷ 10 días).
Ces chiffres montrent clairement pourquoi la gestion manuelle devendra pratiquement imposible. Los riesgos de una gestión inadaptada incluyen:
Interrupciones de servicio no planificadas
Erosión de la confianza de los clientes frente a los mensajes de error de seguridad
Fallos de seguridad resultantes de certificados caducados reemplazados en caso de urgencia
Atención a la reputación y degradación de la experiencia del usuario
Los equipos informáticos pasan un tiempo desproporcionado sobre estas tareas repetidas en detrimento de las actividades creativas de valor.
¿Por qué la automatización debe ser indispensable?
En este nuevo contexto, la automatización del ciclo de vida de los certificados requiere una técnica necesaria y no una simple optimización. La disminución progresiva de la duración de los certificados hace que los procesos manuales de menos en menos sean viables.
Esta transición acelera la evolución histórica de la gestión de direcciones IP, pasa por las configuraciones manuales con asignaciones dinámicas (DHCP) y la complejidad de las redes.
La automatización proporciona muchas ventajas para la conformidad:
Disminución de incidentes liés aux vencimientos imprévues
Optimización de los recursos humanos y financieros
Refuerzo de la postura de seguridad global
Recentrage des équipes informatiques sur des projets innovants
La adaptación continúa aux évolutions desstandards de sécurité
¿Qué soluciones existen para automatizar la gestión de certificados?
Para responder a esta nueva realidad, existen más enfoques de automatización, pero ciertos criterios merecen una atención particular al elegir una solución:
1. La integración RA/CLM: un acercamiento completo
La mayoría de las soluciones de gestión del ciclo de vida de certificados (CLM) operan separadamente de las autoridades de registro (RA). Esta separación crea discontinuidades y puntos de vulnerabilidad potenciales.
Un acercamiento integrado, dígale a cada una de las desarrolladas por Evertrust, que reúna estos dos componentes esenciales:
La verificación de identidades antes de la emisión de certificados (función RA)
La gestión del ciclo de vida completo de certificados (función CLM)
Esta integración garantiza una seguridad reforzada y una fluidez en la automatización.
La gestión segura de las claves públicas continúa en los certificados constituye un elemento central de toda solución de automatización robusta. Las versiones más recientes de soluciones de automatización integradas en mecanismos avanzados para asegurar la integridad de estas claves durante todo el ciclo de vida de los certificados.
2. La soberanía numérica: una consideración estratégica
En un entorno de gestión de infraestructuras numéricas constituye un juego de soberanía, la elección de una solución concebida en Europa presenta ventajas notables.
Una PKI europea, como la propuesta por Evertrust, con garantía:
Une maîtrise complète des données
Una autonomía frente a las legislaciones extraeuropeas
Una conformidad integrada con el RGPD y otras regulaciones europeas
3. Las capacidades esenciales de una solución eficaz
Para responder con eficacia a los juegos de certificados de corta duración, una solución de automatización debe proponer más claves funcionales:
Inventario automático de certificados existentes, que soit l'autorité émettrice
Consola centralizada que ofrece visibilidad en el conjunto del parque de certificados
Programación de renovación para prevenir toda interrupción del servicio
Compatibilidad multi-PKI con diferentes autoridades de certificación
Opciones de implementación en SaaS o en el sitio según los requisitos
Cuadro de borde y notificaciones para una supervisión óptima
Preguntas frecuentes sobre los certificados TLS
¿Qué es un certificado TLS y qué importancia tiene?
¿Quiere saber más sobre la gestión de certificados?
Descubra nuestros recursos sobre las mejores prácticas y estrategias de implementación de PKI.
Un certificado TLS (Transport Layer Security) es un documento numérico que autentifica la identidad de un sitio web y permite una conexión segura. Juega un papel central en la seguridad de las comunicaciones en línea, la protección de los usuarios y el establecimiento de la confianza numérica. El certificado TLS permite la visualización de cadenas en su navegador , indicando una conexión segura.
¿La reducción de la duración de los certificados se aplica a todos los tipos de certificados?
Esta decisión del CA/Browser Forum se refiere principalmente a los certificados públicos TLS /SSL utilizados para proteger los sitios web y servicios en línea accesibles a publicación. Los certificados internos o privados no están directamente relacionados con esta reglamentación, pero la alineación de las horas de duración de la vida se recomienda para mantener una coherencia en las prácticas de seguridad.
¿Cómo funciona la validación de dominio y para una duración reducida de 10 días?
La validación de dominio (DCV - Validación de control de dominio) es el proceso realizado por una autoridad de certificación verificada que le exige un certificado de control efectivo del dominio en cuestión. Esta validación puede realizarse por correo electrónico, por la creación de un archivo específico en el servidor web o por el ajuste de un registro DNS particular.
La reducción del período de reutilización a 10 días garantiza una verificación muy regular del control de dominio, lo que limita los riesgos derivados de un cambio de propietario o de un compromiso no detectado.
¿Cuáles son las consecuencias de la caducidad de un certificado no renovado?
Cuando un certificado caduque sin renovación, los navegadores web mostrarán anuncios de seguridad para los usuarios, indicando una conexión no segura. Estas alertas disuaden a los usuarios generales de la navegación en el sitio. Además, ciertas aplicaciones y API rechazan el sistema de conexión a un servicio que no tiene certificado caducado, lo que provoca interrupciones técnicas.
¿Los certificados de duración reducida afectan las actuaciones?
Non, la duración de la validez de un certificado no influye ni en las actuaciones de confirmación ni en la vitesse de conexiones seguras. El único parámetro afectado es la frecuencia de renovación y de implementación de certificados, debido a la importancia de la automatización.
¿Existen alternativas con certificados de 47 días?
Para ciertos usos específicos, existen alternativas como certificados de duración muy corta (certificados de corta duración) con una validez de determinadas horas o días, sin necesidad de revocación a través de CRL o OCSP. Sin embargo, estas alternativas exigen también una automatización completa y no son convenientes para todos los contextos de utilización.
¿Cómo seleccionar la solución de automatización adaptada a nuestra organización?
La elección de una solución de automatización depende de criterios más amplios:
La cola de su infraestructura: Nombre de certificados de administrador
La arquitectura de su entorno: multinube, híbrida, conteneurizada, etc.
Vos obligaciones réglementaires: RGPD, eIDAS, etc.
Vos exigences de souveraineté: préférence pour dessolutions européennes par exemple
Sus parámetros económicos: SaaS versus local
Conclusión: técnica transformadora de obligación en ventaja organizativa
La reducción de la duración de los certificados a 47 días modifica fundamentalmente la gestión de la seguridad numérica. Las organizaciones que anticiparon esta evolución y adoptaron soluciones de automatización apropiadas transformaron esta nueva técnica de exigencia en operaciones avanzadas.
La automatización del ciclo de vida de los certificados depende de un elemento central de seguridad y continuidad de los servicios numéricos. Al optar por una solución integrada y soberana, las organizaciones pueden no respetar las nuevas reglas, pero también consolidar su arquitectura de seguridad.
Les préparatifs pour l'échéance 2029 comenzarán el mantenimiento. Les Organizations qui s'équipent dès aujourd'hui seront mieux préparées pour esta nueva fase de la gestión de certificados numéricos.
Evertrust es un editor europeo de lógica PKI y CLM con más de 20 años de experiencia combinada. Nuestras soluciones soberanas integran la gestión del ciclo de vida de los certificados (CLM) y la autoridad de registro (RA) en una PKI 100% europea, lo que permite a las organizaciones de todas las colas optimizar la seguridad numérica. Près de 25% des entreprises du CAC-40 nous font confiance pour securiser leur infraestructura numérique.
