Let's Encrypt, una autoridad de certificación sin fines de lucro controlada por la comunidad que proporciona certificados gratuitos a cualquier persona, anunció una reducción gradual de la validez de sus certificados TLS de 90 a 45 días. El 10 de febrero de 2027, la validez del certificado se reducirá a 64 días y, el 16 de febrero de 2028, a 45 días. Una opción de certificado de 45 días estará disponible el 13 de mayo de 2026.
Al mismo tiempo, el período de validez de la autorización se reducirá gradualmente: el 10 de febrero de 2027, de 30 a 10 días, y el 16 de febrero de 2028, de 10 días a 7 horas. El período de validez de la autorización se refiere al tiempo transcurrido desde la verificación de la propiedad del dominio, durante el cual se puede emitir un certificado sin necesidad de volver a verificarlo. Transcurrido este período, se requiere una nueva verificación.
El motivo de la reducción de la validez del certificado son los nuevos requisitos del Foro de CA/Navegadores, que deben cumplir los proveedores de navegadores y las CA. Todas las CA implementarán un periodo de validez similarmente reducido. El Foro de CA/Navegadores ha establecido marzo de 2029 como fecha límite para la finalización de la implementación y una validez máxima del certificado de 47 días. Después de marzo de 2029, los navegadores mostrarán el error "ERR_CERT_VALIDITY_TOO_LONG" al procesar nuevos certificados con un periodo de validez superior a 47 días.
Las ventajas de cambiar a certificados de corta duración incluyen la posibilidad de reducir el tiempo necesario para implementar nuevos algoritmos criptográficos si se descubren vulnerabilidades en los existentes, así como una mayor seguridad. Por ejemplo, si un certificado no se detecta durante un ataque informático, los certificados de corta duración evitarán que los atacantes monitoreen el tráfico de la víctima durante periodos prolongados o los utilicen para phishing. Una verificación más frecuente de la propiedad del dominio y periodos de validez más cortos de los certificados también reducirán la probabilidad de que un certificado siga siendo válido tras el vencimiento de la información que contiene y mitigarán el riesgo de distribuir certificados emitidos incorrectamente.
Debido a la reducción de los periodos de validez de los certificados, Let's Encrypt recomienda a los usuarios cambiar a sistemas automatizados de gestión de certificados en lugar de renovarlos manualmente. Los usuarios que ya utilizan sistemas automatizados deben asegurarse de que sus herramientas admitan correctamente los certificados con periodos de validez reducidos. Para coordinar las renovaciones automáticas de certificados a tiempo, los administradores pueden utilizar la extensión del protocolo ACME Renewal Information (ARI), que les permite recibir información sobre los requisitos de renovación de certificados y seleccionar el momento óptimo. También es recomendable configurar un sistema de monitorización para detectar los casos en que un certificado no se haya renovado a tiempo.
Para simplificar la verificación de la propiedad del dominio, el proyecto Let's Encrypt planea implementar un nuevo método de verificación DNS-PERSIST-01 en 2026. A diferencia de HTTP-01 y DNS-01, este método no requiere actualizar la información cada vez ni que el cliente ACME tenga acceso a la infraestructura web o al servidor DNS. Con PERSIST-01, basta con agregar un registro TXT específico al DNS ('_validation-persist.example.com. IN TXT("ca.example;" » accounturi=https://ca.example/acct/123")) una vez, y el cliente ACME podrá autenticarse sin actualizar los datos DNS.
Fuente: opennet.ru
