¿Durante cuánto tiempo son válidos los certificados digitales?

A continuación, explicaremos qué son los certificados digitales, sus ventajas, cuánto tiempo son válidos, cómo saber si han caducado, cómo reparar un certificado caducado y el próximo ajuste del periodo de validez de 47 días.

¿Qué es un certificado digital?

Un certificado digital es un archivo que demuestra la autenticidad de un sistema electrónico, como un dispositivo, un servidor o un usuario, mediante el uso de la criptografía de clave pública y la infraestructura de clave pública (PKI).

Al instituir este método de identificación para dispositivos y usuarios, las organizaciones pueden garantizar la seguridad de sus redes. Un tipo popular de certificado digital es un certificado SSL/TLS, que se utiliza para confirmar la autenticidad de un sitio web a un navegador web.

Los certificados digitales contienen información identificable, como el nombre del dominio, la organización, la localidad e información sobre el dispositivo, como la dirección IP o el número de serie. Contienen una copia de una clave pública correspondiente a una firma digital del titular del certificado. Ésta debe cotejarse con la clave privada correspondiente para verificar que es real y que la información contenida en el certificado es exacta.

Un certificado de clave pública, emitido por autoridades de certificación (CA) basadas en este par de claves, se utiliza para firmar certificados con el fin de verificar la identidad del dispositivo o usuario solicitante. Sin la clave de cifrado correcta, este emparejamiento es imposible.

Estos certificados digitales comunes que puede que conozca son:

• Certificados TLS/SSL
  
• Certificados de firma de código
  
• Certificados S/MIME
  

A menos que se indique lo contrario, este artículo tratará sobre los certificados SSL/TLS.

Ventajas de los certificados digitales y cómo se utilizan

Los certificados digitales son beneficiosos para varios tipos de entidades que desean aumentar la ciberseguridad y cumplir cualquier normativa necesaria. Los principales usuarios de estos certificados pueden clasificarse en las categorías de particulares, organizaciones y sitios web.

Para emitir estos certificados, las CA requieren que se les proporcione cierta información a través de una solicitud de firma de certificado. Una vez validada esta información, se firma con una clave y se expide el certificado al solicitante.

A continuación, este certificado puede emplearse para verificar la identidad del propietario, garantizando que éste posee realmente la clave pública durante la autenticación del cliente, o proporcionar las credenciales de un sitio web. Esto es importante para muchos tipos de transacciones digitales. Es más probable que un consumidor dé la información de su tarjeta de crédito a un sitio web que pueda demostrar su identidad a su navegador/punto final. Comprenden implícitamente que su información sensible está protegida y que el sitio web está cifrando datos privados.

Los certificados firmados digitalmente también son útiles para proteger los dispositivos de la Internet de las Cosas (IoT). Estos dispositivos se conectan a muchos servidores web y sitios web diferentes para completar las acciones automatizadas para las que los consumidores confían en ellos. Los certificados prueban la identidad de estos dispositivos para que puedan completar sus tareas sin intervención humana.

¿Caducan los certificados digitales?

Los periodos de validez de los certificados digitales son específicos de cada tipo de certificado. Actualmente, los certificados de firma de código tienen una validez de hasta tres años, mientras que los certificados SSL tienen una validez de poco más de un año.

¿Qué determina el periodo de validez?

En última instancia, son las organizaciones que aceptan los certificados las que determinan el periodo de validez. Suelen ajustarse a las recomendaciones del CA/Browser Forum.

El Foro CA/Browser se reúne para votar sobre diversos temas, centrándose a menudo en un conjunto de requisitos básicos para la emisión de certificados digitales de confianza. El Foro CA/Browser no es un órgano de gobierno y no tiene capacidad para imponer su cumplimiento. Los aceptantes tienen la última palabra y pueden ser más o menos estrictos que las recomendaciones formuladas por la organización.

Un aspecto interesante de los certificados digitales es que el ciclo de vida de los certificados, incluidos los periodos máximos de validez, no los determina el emisor, sino el aceptante, cuyas preocupaciones y políticas refleja el CA/Browser Forum a través de un proceso de votación. Los aceptantes son organizaciones que construyen cosas, como sistemas operativos y navegadores. Se centran en proteger la información del usuario final y no los procesos organizativos. Por eso, empresas como Microsoft y Google prefieren rechazar de plano los certificados que no se ajustan a sus criterios y denegar el acceso temporalmente, en lugar de limitarse a aceptar todos los certificados.

Periodo de validez actual de los certificados SSL/TLS

A partir de septiembre de 2020, los certificados de seguridad de la capa de transporte (SSL/TLS) no podrán emitirse por más de 13 meses (397 días). Este cambio fue anunciado por primera vez por Apple en el CA/Browser Forum.

Antes de 2015, se podía obtener el certificado con un periodo de validez de hasta cinco años. Eso se redujo a tres en 2015, y luego a dos en 2018. A finales de 2019, se propuso una votación en el Foro CA/Browser que habría reducido la validez a un año y fue rechazada. Esta decisión fue anulada por un cambio de política de Apple al año siguiente.

Tradicionalmente, los certificados con Extended Validation (EV) tienen fechas de caducidad y procesos de gestión de certificados diferentes a los de los certificados con Domain Validation (DV) u Organization Validation (OV), aunque en el caso de los certificados SSL los periodos de validez son los mismos.

¿Cómo puedo saber cuándo caduca mi certificado SSL/TLS?

Los certificados SSL caducan como máximo a los 398 días de su fecha de emisión, pero la mayoría de las CA fijan su fecha de caducidad antes, a menudo en torno a los 395 días. Es importante renovarlos ANTES de que caduquen. La espera causará graves trastornos a las organizaciones y a sus clientes. Las fechas de caducidad de los certificados son comunicadas claramente por sus emisores y cada uno tiene su propio proceso de renovación de certificados.

Las CA suelen notificar la fecha de caducidad con antelación, por lo que es recomendable renovar el certificado en cuanto se reciba la primera notificación para evitar interrupciones.

A menudo, un solicitante de renovación de certificado tendrá que volver a autenticar partes de la información contenida en su antiguo certificado que le gustaría ver en el nuevo. El proceso para ello es similar al proceso de emisión original.

La propuesta de Google para un periodo de validez de 90 días

A principios de marzo de 2023, durante las reuniones presenciales del Foro CA/B, Google anunció su intención de reducir el periodo máximo de validez de los certificados SSL de 398 a 90 días. Este cambio está llamado a revolucionar la gestión de los certificados digitales y es crucial que las empresas empiecen a prepararse ahora, ya que las políticas y prácticas actuales en torno a la gestión de certificados tendrán que ser reevaluadas y actualizadas para alinearse con esta nueva norma.

¿Por qué el cambio?

La principal motivación de la propuesta de Google es mejorar la seguridad. Una vida útil más corta de los certificados significa que tendrán que renovarse con mayor frecuencia, lo que garantizará que los estándares de cifrado se mantengan actualizados y que las vulnerabilidades se aborden con prontitud. Este cambio reduce la ventana de oportunidad para que los atacantes exploten certificados comprometidos, mejorando significativamente la ciberseguridad general. Las renovaciones frecuentes también significan que cualquier debilidad en los algoritmos de cifrado o en las prácticas de gestión de claves puede corregirse rápidamente, manteniendo el máximo nivel de protección de los datos sensibles.

La renovación automática de certificados será más importante que nunca

Con la propuesta de periodos de validez más cortos, la importancia de automatizar las renovaciones de certificados se convierte en primordial. Los procesos manuales de renovación pueden dar lugar a errores y lapsos, lo que puede causar importantes interrupciones y riesgos de seguridad para las empresas. Con un proceso de renovación mucho más frecuente, estos riesgos aumentarán. Los sistemas automatizados ayudan a garantizar que las renovaciones se completen con precisión y a tiempo, reduciendo las posibilidades de que los certificados caducados provoquen interrupciones del servicio.

La automatización también libera recursos de TI, lo que permite a los equipos centrarse en tareas más críticas en lugar del proceso repetitivo y lento de las renovaciones manuales de certificados SSL. Además, las herramientas automatizadas de gestión del ciclo de vida de los certificados (CLM) pueden proporcionar supervisión y alertas en tiempo real, garantizando que las organizaciones estén siempre al tanto de los próximos vencimientos y puedan actuar con prontitud.

Incorporar la automatización a los procesos de renovación de certificados no sólo mejora la eficacia, sino que también aumenta la seguridad. Los sistemas automatizados son menos propensos al error humano y aplicarán sistemáticamente las últimas prácticas y políticas de seguridad. Esto es especialmente crucial con periodos de validez más cortos, en los que aumenta la frecuencia de las renovaciones y se reduce el margen de error.

Ventajas de los periodos de validez más cortos

Los periodos de validez cortos permiten que los cambios de algoritmo tengan mayores repercusiones. Por ejemplo, hace unos años, SHA-1 quedó obsoleto en favor de SHA-2. En aquella época, los certificados tenían periodos de validez más largos. En aquella época, los certificados tenían periodos de validez de varios años, a menudo tres o más. Dado que los algoritmos hash se eligen en el momento de generar el certificado y no cuando se utilizan, algunos certificados tardaron años en utilizar el nuevo algoritmo, más seguro. Cifrar datos con algoritmos obsoletos puede dejar expuesta información clave.

Los periodos de validez cortos ofrecen una excelente solución a este problema, ya que los cambios de algoritmo pueden aplicarse automáticamente en el momento de la renovación, con lo que el tiempo de espera para su adopción es insignificante.

¿Cómo puedo reparar un certificado caducado?

Las autoridades de certificación disponen de mecanismos para revocar los certificados caducados. Esto se hace a través de lo que se denomina una lista de revocación de certificados (CRL), que permite a una CA realizar un seguimiento de los certificados que han caducado o han sido revocados por cualquier motivo.

Para renovar automáticamente sus certificados SSL, es posible que tenga que revalidar la información y esto se puede hacer a través de plataformas de gestión del ciclo de vida de certificados como Certificate Manager o SCM Pro de Sectigo. Para obtener más información sobre cómo funcionan nuestras plataformas o adquirir nuevos certificados SSL, póngase en contacto con nuestro equipo de Sectigo hoy mismo.

Prepárese para períodos de validez más cortos y aproveche la automatización con Sectigo

Prepárese ahora para los certificados SSL de 47 días para evitar problemas en un futuro próximo. Garantice transiciones sin problemas a períodos de validez más cortos, mitigue los riesgos de interrupciones del servicio y mantenga una seguridad sólida para su organización. Póngase en contacto con Sectigo hoy mismo para descubrir cómo podemos ayudar a su empresa a agilizar los procesos de renovación de certificados y mantener el cumplimiento sin esfuerzo.

¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.

Entradas asociadas:

Apple publica un borrador para reducir la vida útil de los certificados a 47 días

Preparándose para el futuro: La propuesta de Apple de 47 días de vida útil del certificado

Por qué caducan los certificados SSL: exploración de las ventajas de períodos de validez más cortos