Certificados SSL/TLS camino a los 47 días: el nuevo calendario que redefine la seguridad web hasta 2029

Certificados SSL/TLS camino a los 47 días: el nuevo calendario que redefine la seguridad web hasta 2029

por Manuel Naranjo

Si hoy ya te parece pesado estar pendiente de cuándo caducan los certificados SSL/TLS, lo que viene a partir de 2029 es otro nivel: la vida útil máxima bajará a solo 47 días. No es un rumor ni una idea loca de una empresa concreta, sino una decisión aprobada en el CA/Browser Forum, el “club” donde se sientan las principales autoridades de certificación y los grandes navegadores.

La idea oficial es reforzar la seguridad, pero el cambio va a obligar a muchas empresas a revisar de arriba abajo cómo gestionan sus certificados.

De dónde sale el cambio y qué se persigue

Aquí no estamos hablando de una nueva ley ni de una imposición gubernamental. La jugada viene del CA/Browser Forum, el grupo en el que participan las grandes CAs (DigiCert, GlobalSign, Sectigo, etc.) junto con los equipos de Chrome, Firefox, Safari o Edge.

Apple fue quien puso la bola a rodar proponiendo acortar drásticamente la vigencia de los certificados. Luego se fueron sumando otras voces del sector hasta que la votación salió adelante, sin oposición directa.

Sobre el papel, los objetivos son bastante razonables:

  • Reducir el tiempo en el que los datos del certificado pueden quedarse desactualizados.
  • Minimizar la ventana en la que un certificado comprometido sigue siendo válido.
  • Empujar a la industria hacia la automatización y reducir los típicos errores de “se nos ha caducado el certificado y nadie se dio cuenta”.

La teoría encaja: certificados más cortos, menos exposición. Otra cosa es cómo se aterriza eso en organizaciones con cientos de servicios y equipos distintos.

El nuevo calendario: del año largo al mes y medio

Hasta ahora, el límite de los certificados públicos de servidor se movía en torno a los 398 días. No es eterna juventud, pero da cierto margen para planificar renovaciones con calma.

Con el acuerdo aprobado, se entra en un periodo de transición con varias fechas clave:

  • 15 de marzo de 2026 - Vida máxima del certificado: 200 días - Validez de la comprobación de control de dominio (DCV): 200 días.
  • 15 de marzo de 2027 - Vida máxima: 100 días - DCV: 100 días.
  • 15 de marzo de 2029 - Vida máxima: 47 días - DCV: 10 días.

En la práctica, significa que pasamos de algo más de un año a poco más de mes y medio. Y, además, la prueba de que realmente controlas el dominio tendrás que renovarla con una frecuencia ridícula visto desde el modelo actual.

Geeknetic Certificados SSL/TLS camino a los 47 días: el nuevo calendario que redefine la seguridad web hasta 2029 1

Más seguridad, sí; más presión operativa, también

En una web pequeña alojada en un proveedor que ya automatiza certificados, el usuario casi ni se enterará. Pero la película cambia cuando hablamos de:

  • Empresas con muchos dominios y subdominios repartidos por media Internet.
  • Entornos híbridos en los que hay certificados en servidores web, balanceadores, firewalls, appliances de correo, APIs internas, pasarelas de pago, etc.

Hoy ya vemos certificados caducados en páginas de organismos públicos, bancos o grandes compañías. Con una vigencia de 47 días, seguir tirando de renovaciones manuales, correos de aviso y hojas de cálculo es jugar con fuego.

La automatización deja de ser opcional

El mensaje de fondo del cambio es bastante claro: el modelo de “alguien se apunta la fecha en el calendario y se ocupa” ha muerto.

Para sobrevivir en un mundo de certificados efímeros hace falta:

  • Usar protocolos de automatización como ACME, popularizado por Let’s Encrypt y ya soportado por muchas CAs comerciales.
  • Aprovechar los servicios de nube que integran emisión y renovación automática para los recursos que alojan.
  • Adoptar plataformas de gestión centralizada de certificados, que descubran activos perdidos, monitoricen caducidades y orquesten renovaciones sin ir servidor por servidor a mano.

Qué conviene empezar a hacer ya

Aunque la fecha del gran recorte sea 2029, el primer tijeretazo llega en 2026. Tres años parecen mucho, pero para una organización grande es mañana por la mañana. Tiene sentido ir preparando el terreno con pasos muy concretos:

Hacer inventario de verdad

Saber cuántos certificados hay, quién los emite, dónde están instalados y cuándo caducan. Lo que no se ve, no se puede automatizar.

Reducir la dispersión de proveedores

Cuantos menos emisores diferentes, menos variaciones que gestionar y menos sorpresas en los procesos de renovación.

Empezar a probar ACME y similares

No hace falta migrarlo todo de golpe, pero sí conviene empezar por servicios menos críticos para asegurarse de que el ciclo completo de emisión y renovación funciona sin intervención manual constante.

Revisar los procesos de cambio internos

Si cada certificado necesita pasar por un comité de cambios que se reúne una vez al mes, el modelo actual es insostenible con vigencias tan cortas. Harán falta procedimientos más ágiles y, al mismo tiempo, bien documentados.

Poner monitorización en condiciones

Alertas automáticas, paneles centralizados y notificaciones con margen de reacción. Con ventanas de semanas, no vale fiarlo a que alguien se acuerde.

Una incomodidad necesaria… y una oportunidad

Desde el punto de vista de la seguridad, el movimiento tiene lógica: si algo se rompe o se compromete, mejor que el certificado tenga una vida corta. Desde el punto de vista del día a día en las empresas, supone un quebradero de cabeza adicional que va a obligar a invertir tiempo, dinero y esfuerzo en herramientas y procesos.

La parte buena es que puede servir como excusa para poner orden en un ámbito que muchas organizaciones han ido improvisando sobre la marcha. Quien aproveche este cambio para limpiar, unificar y automatizar saldrá reforzado. Quien siga fiándolo todo a tareas manuales y avisos por correo descubrirá muy rápido que 47 días, en producción, pasan en un suspiro.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!

Temas Relacionados: Ciberseguridad SSL TLS
Redactor del Artículo: Manuel Naranjo

Manuel Naranjo

Ingeniero informático y Técnico Superior en Topografía, que dejó las obras por su pasión: la tecnología. Desde hace ya varios años me dedico a lo que me gusta, con eso lo digo todo. Mi filosofía es el trabajo y la ilusión, no conozco otra forma de conseguir las cosas. El motor (sobre todo la F1) y el basket, mis vicios confesables.

También te puede interesar Otros artículos y noticias sobre tecnología
AMD confirma un bug en Zen 5 que puede afectar a la seguridad criptográfica. Los parches para solucionarlo llegan este mes
103/11/2025

AMD confirma un bug en Zen 5 que puede afectar a la seguridad criptográfica. Los parches para solucionarlo llegan este mes

Zero Trust Network Access (ZTNA) y SASE: El futuro de la Seguridad sin fronteras
... 03/11/2025

Zero Trust Network Access (ZTNA) y SASE: El futuro de la Seguridad sin fronteras

Cómo proteger Apache: Configuraciones clave de Ciberseguridad
... 22/10/2025

Cómo proteger Apache: Configuraciones clave de Ciberseguridad

Acronis nos muestra su plataforma integral para MSP, incluyendo backups, ciberseguridad e IA. ¿Es realmente la solución ideal?
... 31/10/2025

Acronis nos muestra su plataforma integral para MSP, incluyendo backups, ciberseguridad e IA. ¿Es realmente la solución ideal?

Intel denuncia a un ex empleado por haber descargado más de 18.000 archivos confidenciales tras ser despedido
...10/11/2025

Intel denuncia a un ex empleado por haber descargado más de 18.000 archivos confidenciales tras ser despedido

Raspberry Pi como Sistema de Detección de Intrusos con Suricata, la opción económica para PYMEs
... 30/09/2025

Raspberry Pi como Sistema de Detección de Intrusos con Suricata, la opción económica para PYMEs

Comentarios y opiniones sobre: Certificados SSL/TLS camino a los 47 días: el nuevo calendario que redefine la seguridad web hasta 2029 ¿Qué opinas? ¿Alguna pregunta?