La nueva realidad de los certificados SSL/TLS: cómo adaptarse a vigencias de hasta 47 días.

En los últimos años, el ecosistema de seguridad digital ha cambiado significativamente. Organismos clave como el CA/B Forum, Apple, Google y Mozilla han impulsado una reducción progresiva en la vigencia de los certificados SSL/TLS, que podría llegar hasta los 47 días.

Pero este no es solo un cambio técnico. Es un cambio operativo que está obligando a las organizaciones a replantear por completo cómo gestionan sus certificados.

Este cambio ya se está discutiendo activamente en el CA/B Forum y en las políticas de navegadores como Chrome y Safari.

¿Qué implica realmente este cambio?

Reducir la vigencia de los certificados tiene beneficios claros:

• Mayor seguridad
• Menor impacto ante claves comprometidas
• Impulso a la automatización

Sin embargo, también introduce nuevos desafíos operativos.

Impacto directo

• Las renovaciones pueden aumentar hasta 8 veces
• Mayor dependencia de la automatización
• Incremento del riesgo operativo ante fallos
• Necesidad de monitoreo continuo y proactivo

En otras palabras: lo que antes era una tarea ocasional, ahora es un proceso crítico y constante.

El problema con los certificados Wildcard y SAN

Durante años, los certificados wildcard y multidominio (SAN) han sido una solución práctica para simplificar la administración.

Pero en este nuevo contexto… pueden convertirse en un riesgo.

1. Punto único de fallo

Un solo certificado puede proteger múltiples servicios.

Si falla, impacta todo.

2. Renovaciones más complejas

Con vigencias más cortas:

• Hay más renovaciones
• Más sistemas que actualizar
• Más posibilidades de error

3. Cambios más frecuentes

Agregar o quitar dominios implica reemitir el certificado completo.

Y ahora esto ocurre mucho más seguido.

4. Problemas de distribución

Cuando el certificado está en múltiples servidores:

• Puede haber desincronización
• Fallos parciales difíciles de detectar

Mejores prácticas para este nuevo escenario

La clave ya no es tener menos certificados.
La clave es gestionarlos mejor.

1. Segmenta tus certificados

Evita concentrar múltiples servicios en un solo certificado.

Recomendación:

• Utilizar un certificado por dominio

Beneficios:

• Menor impacto ante fallos
• Mayor control
• Mejor trazabilidad

2. Automatiza todo el ciclo de vida

La automatización ya no es opcional.

Debes automatizar:

• Emisión
• Renovación
• Despliegue

Tecnologías clave:

• ACME
• Certbot, Lego u otras herramientas
• Integración con APIs DNS

3. Usa wildcard de forma selectiva

Solo cuando:

• Existen muchos subdominios dinámicos
• Tienes automatización DNS robusta

Evítalos en entornos críticos o distribuidos.

4. Limita los certificados SAN

• Reduce la cantidad de dominios por certificado
• Prefiere certificados individuales

5. Centraliza con control

Puedes usar:

• Load balancers
• Reverse proxies

Pero evita depender de un único certificado crítico.

6. Monitorea de forma proactiva

Debes tener visibilidad sobre:

• Fechas de expiración
• Estado de renovación
• Errores de validación

7. Optimiza tu configuración TLS

• Usa certificados ECDSA
• Implementa TLS 1.2 y 1.3
• Habilita OCSP Stapling

El verdadero cambio: de técnico a estratégico

Antes:

• Pocos certificados
• Gestión manual
• Vigencias largas

Ahora:

• Más certificados
• Automatización obligatoria
• Ciclos de vida cortos

No es más trabajo… es otro modelo operativo.

¿Cómo cambia esto en la práctica?

Para entender el impacto real, veamos un ejemplo sencillo:

Antes:

• Una empresa con 100 certificados
• Vigencia promedio: 1 año
  100 renovaciones al año

Después (47 días):

• Esos mismos 100 certificados
  Se convierten en aproximadamente 775 renovaciones al año

Esto implica:

• Más de 7 veces más operaciones
• Mayor probabilidad de errores manuales
• Mayor dependencia de automatización
• Mayor riesgo de interrupciones

Ahora imagina esto en entornos más grandes:

• Cientos o miles de certificados
• Infraestructura distribuida

La gestión manual deja de ser viable.

¿Cómo están resolviendo esto las organizaciones hoy?

Las empresas que ya se están preparando para este cambio no están aumentando equipos ni gestionando más manualmente.

Están adoptando un enfoque basado en:

• Automatización completa del ciclo de vida
• Visibilidad centralizada
• Reducción del riesgo operativo

En otras palabras, están pasando de una gestión reactiva a un modelo continuo y controlado.

Aquí es donde entran las plataformas de gestión de certificados (CLM).

Este tipo de soluciones permite:

• Automatizar emisión, renovación y despliegue
• Detectar certificados desconocidos o no gestionados
• Prevenir caídas antes de que ocurran

Por ejemplo, soluciones como Cert360 de CertSuperior permiten:

• Automatización completa del ciclo de vida de certificados SSL/TLS
• Monitoreo continuo con alertas proactivas
• Descubrimiento automático de certificados en la infraestructura

Conclusión

La reducción en la vigencia de certificados SSL/TLS no solo mejora la seguridad.

Cambia completamente la forma en la que las organizaciones deben operar.

Las empresas que no automaticen y centralicen esta gestión enfrentarán un incremento significativo en riesgos operativos.

Adaptarse no es opcional: es una necesidad para garantizar continuidad, seguridad y escalabilidad.