Cambios en la validez de certificados TLS

A partir del 11 de abril de 2025, el Foro CA/Navegadores aprobó una reducción progresiva en la validez de los certificados SSL/TLS, estableciendo un nuevo límite máximo de 47 días. 

Esta medida tiene como objetivo reforzar la seguridad en las comunicaciones digitales y requerirá renovaciones más frecuentes por parte de las organizaciones. La implementación comenzará en marzo de 2026, marcando el inicio de una nueva era en la gestión del ciclo de vida de los certificados digitales

En 2029, los certificados SSL/TLS con una validez de 47 días se consolidarán como el nuevo estándar de la industria.

Como resultado de una propuesta presentada por Apple en enero de 2025, la nueva medida aprobada establece una reducción gradual de la validez de los certificados digitales, mediante una implementación por fases.

Nuevas duraciones para certificados TLS

Validez máxima de los certificados TLS:

• Hasta el 15 de marzo de 2026: 398 días
• Desde el 15 de marzo de 2026: 200 días
• Desde el 15 de marzo de 2027: 100 días
• Desde el 15 de marzo de 2029: 47 días

Reutilización de validación de dominio/IP:

• Hasta el 15 de marzo de 2026: 398 días
• Desde el 15 de marzo de 2026: 200 días
• Desde el 15 de marzo de 2027: 100 días
• Desde el 15 de marzo de 2029: 10 días

Esta transición implicará un aumento drástico en la carga operativa:

• 12 veces más certificados que gestionar.
• 12 veces más trabajo para los equipos de TI y ciberseguridad.
• 12 veces más riesgo de omitir renovaciones, con el consiguiente potencial de interrupciones del servicio.

Además, la reutilización de la Información de Identidad del Sujeto (SII) bajará de 825 a 398 días desde 2026. Esto aplica a certificados OV/EV, no a los DV.

¿Por qué 47 días?

Este número no es arbitrario. Representa un ciclo corto que encaja dentro de calendarios mensuales y facilita la automatización:

47 días = 31 días (mes completo) + 15 días (medio mes) + 1 día de margen

Apple argumenta que la reducción de la validez hace que la automatización sea esencial. Asegura mayor seguridad y suple la ineficacia de los sistemas de revocación (CRL y OCSP), que los navegadores frecuentemente ignoran.

Dado que manualmente será difícil cumplir con las nuevas reglas (especialmente en 2029), se espera una transición rápida hacia la automatización antes de esa fecha.

Importante: No se cobrará más por reemplazos frecuentes de certificados. Los precios seguirán basados en suscripciones anuales.

¿Qué pasa si no se toma acción?

Si un certificado expira y no se renueva a tiempo, el navegador mostrará una advertencia de que la conexión ya no es privada, lo que hace que los usuarios abandonen el sitio, percibiéndolo (correctamente) como inseguro. 

Estas advertencias no solo ahuyentan clientes, también dañan la reputación de la empresa. El impacto financiero puede ser grave: pérdida de ventas inmediatas y futuras por la pérdida de confianza digital.

Estamos aquí para facilitar la transición

Las organizaciones deberán renovar certificados casi cada mes, un ritmo insostenible sin una solución automatizada. CertSuperior ya ofrece herramientas de automatización como Trust Lifecycle Manager, que incluye renovaciones automáticas.