Apple presentó una propuesta al CA/Browser Forum, la entidad que regula las autoridades de certificación y proveedores de navegadores, sugiriendo que, por motivos de seguridad, se reduzca la validez máxima de los certificados digitales de 398 días a solo 45 días.
Después de un debate, el
foros llegó a un consenso
sobre un límite ligeramente mayor, de 47 días, lo que significa que, en el futuro, todos los certificados de confianza pública (excepto los certificados raíz) estarán sujetos a esta duración.
Con 25 votos a favor y ninguno en contra, el Foro de CA/Navegadores ha decidido acortar la duración de la siguiente manera:
- A partir del 15 de marzo de 2026, la duración de los certificados y la DCV se reducirá a 200 días.
- A partir del 15 de marzo de 2027, la duración de los certificados y la DCV se reducirá a 100 días.
- A partir del 15 de marzo de 2029, la duración de los certificados se limitará a 47 días y la DCV a 10 días.
En respuesta, Let’s Encrypt ha anunciado que reducirá progresivamente la validez de sus certificados para cumplir con los requisitos del foro. Para 2028, todos los certificados emitidos por Let’s Encrypt tendrán una duración máxima de 45 días.
La transición seguirá este calendario:
- A partir del 13 de mayo de 2026: Let’s Encrypt cambiará el perfil ACME de TLSserver a una validez de 45 días. Esta fase es opcional y solo destinada a pruebas.
- A partir del 10 de febrero de 2027: El perfil ACME «clásico» predeterminado tendrá una validez de 64 días, con un periodo de reutilización de la autorización de 10 días.
- A partir del 16 de febrero de 2028: El perfil ACME «clásico» predeterminado adoptará un periodo de validez de 45 días, lo que se convertirá en el límite máximo para todos los certificados recién emitidos.
Actualmente, una vez validado un dominio, puede utilizarse para obtener certificados por un máximo de 30 días. Para 2028, este periodo se reducirá drásticamente a solo 7 horas. Si un certificado no se emite en esas siete horas, será necesario revalidar el control del dominio antes de proceder a la emisión.
La mayoría de los usuarios que dependen de flujos de trabajo totalmente automatizados de emisión, renovación e implementación no necesitarán hacer cambios. Sin embargo, deben asegurarse de que su automatización sea compatible con una vida útil de los certificados significativamente más corta.
Para que los clientes de ACME puedan renovar sus certificados a tiempo, se recomienda adoptar la Información de Renovación de ACME (ARI), diseñada para indicar cuándo es necesaria la renovación. Consulte la documentación de su cliente de ACME para obtener instrucciones sobre cómo habilitar ARI.
Si un cliente no es compatible con ARI, debe asegurarse de que su intervalo de renovación se ajuste a la validez de 45 días. Por ejemplo, un ciclo de renovación de 60 días haría que los certificados caduquen antes de que se realice la renovación. Una regla segura es renovar aproximadamente dos tercios de la vida útil del certificado (alrededor del día 30 para un certificado de 45 días).
Let’s Encrypt desaconseja encarecidamente las renovaciones manuales. A medida que se reduce la vida útil de los certificados, aumenta la frecuencia de renovación, lo que incrementa la probabilidad de errores humanos, y cualquier descuido podría causar interrupciones del servicio.
Fuente: SecurityOnline
Con Información de blog.segu-info.com.ar