El CA/Browser Forum aprobó un cronograma que reducirá de manera drástica la vigencia de los certificados de seguridad TLS/SSL, el mecanismo que permite cifrar comunicaciones y autenticar sitios web. El cambio llevará los ciclos de renovación desde un esquema anual hacia períodos cada vez más cortos, con un objetivo final de 47 días en 2029.
La primera etapa se activó el 24 de febrero de 2026. Desde esa fecha, las autoridades certificantes limitaron la vigencia máxima de los nuevos certificados a 199 días, en reemplazo del tope actual de 397 días. Además, a partir del 15 de marzo de 2026 se establecerá formalmente una vida útil máxima de 200 días a nivel general de la industria.
El recorte también alcanza a las validaciones asociadas. Las validaciones de organización (OV) pasan de 825 a 397 días. En paralelo, la reutilización de la información de validación de dominio queda restringida a un máximo de 199 o 200 días, según la plataforma.
Néstor Markowicz, COO de CertiSur, planteó que la modificación excede un ajuste de plazos y obliga a cambiar la administración operativa de los certificados. “Este cambio no es simplemente una reducción de plazos; es una transformación estructural en la manera en que las organizaciones deben gestionar su identidad digital”, dijo Markowicz, COO de CertiSur.
El calendario oficial prevé nuevas reducciones. A partir del 15 de marzo de 2027, la vida útil máxima caerá a 100 días. Luego, desde el 15 de marzo de 2029, se reducirá a 47 días. Esa cifra responde a un cálculo técnico del sector: un mes máximo de 31 días, más medio mes (15 días) y un día de margen. Para 2029, la información de validación de dominio solo podrá reutilizarse por 10 días.
La medida fue impulsada por Apple, con respaldo casi inmediato de Google. El argumento central sostiene que la información contenida en los certificados se vuelve menos confiable con el paso del tiempo, por lo que la revalidación frecuente mitiga el riesgo. También se apunta a limitaciones del sistema actual de revocación de certificados, basado en protocolos como CRL y OCSP, que “ha demostrado ser poco fiable y muchas veces es ignorado por los navegadores”.
En ese escenario, la gestión manual pierde margen. “La conversación ya no pasa por el costo del certificado, sino por el riesgo operativo”, dijo Markowicz.