Validez de certificado SSL y TLS establecida en un año

A partir del 1 de septiembre de 2020, la nueva validez máxima del certificado SSL/TLS será de 398 días o aproximadamente 13 meses. Apple y Google anunciaron cambios en sus programas raíz a principios de este año, lo que provocó el cambio. (Más sobre programas raíz en un minuto).

Los puntos clave a sacar de este cambio son:

  • Los certificados de dos años emitidos antes del 1 de septiembre de 2020, seguirán siendo válidos hasta su fecha de vencimiento. Las renovaciones solo estarán disponibles para el nuevo período máximo de validez del certificado (13 meses/398 días).
  • La renovación, reemisión o reprocesamiento de un certificado de dos años después del 1 de septiembre de 2020 dará como resultado una renovación de 398 días. Recuerde que muchos cambios de certificado requieren una nueva emisión. Eso incluye agregar o eliminar un dominio de un certificado, cambiar la información de la organización, reemplazar el par de clave privada/clave pública.
  • En los últimos 31 meses, los períodos de validez de los certificados han pasado de tres a dos a ahora (un poco más) de un año. Si los principales programas raíz se salen con la suya, esa tendencia continuará. Podemos esperar que los períodos de renovación sean cada vez más cortos. Si administra varios certificados SSL/TLS, debe comenzar a avanzar hacia la automatización de la renovación . Eso ayudará a evitar la caducidad del certificado.

Por qué se está haciendo el cambio

El paso a vidas más cortas para los certificados SSL y TLS ha estado ocurriendo durante algún tiempo. Antes de 2015, se podían emitir certificados de cinco años. Como mencioné, solo en los últimos 31 meses, el período máximo se ha reducido en dos tercios.

Pero ¿por qué está sucediendo?

En primer lugar, una vida útil más corta significa que lleva menos tiempo implementar actualizaciones o cambios en el sistema. Cuanto menos tiempo se necesite para reaccionar ante los problemas, menos riesgos de seguridad enfrentaremos.

La otra consideración es la identidad. Después de todo, ese es el propósito de un certificado SSL/TLS: verificar la identidad del sitio/propietario del sitio. Entonces la pregunta es, ¿cuánto tiempo debemos confiar en la información utilizada para validar una identidad?

Cuanto más tiempo transcurre entre validaciones, mayor es el riesgo.

¿Qué son los programas raíz SSL/TLS?

Cuando hablamos de "raíz", nos referimos a los certificados raíz en una cadena de certificados .

Las autoridades de certificación (CA) y los navegadores web tienen que trabajar juntos. Los navegadores necesitan certificados para determinar la confianza en el sitio web y ayudar a establecer conexiones seguras. Y la CA necesita que los navegadores confíen en sus certificados públicos.

Los programas raíz (que son ejecutados por las empresas de navegadores web) se aseguran de que la relación funcione sin problemas.

Los principales programas raíz están a cargo de Microsoft, Apple, Mozilla y Google. Si una CA desea que los programas raíz confíen en sus certificados, debe seguir las pautas del programa.

Apple comenzó el cambio reciente al anunciar que el 1 de septiembre de 2020 dejaría de confiar en los (nuevos) certificados emitidos por más de 398 días.

Debido a que los programas raíz y las CA tienen que trabajar juntos, cuando un programa raíz cambia sus estándares, el resto lo sigue. Así que Apple básicamente obligó a acortar la vida útil de los certificados. Pero cualquier programa raíz puede forzar un cambio.

Por ejemplo, Google fue la fuerza impulsora detrás del cambio SHA-1 a SHA-2.

Entonces, cuando un programa raíz decide que algo debe cambiar, cambia en todos los navegadores web y autoridades de certificación.

Por qué una vida útil más corta del certificado SSL/TLS es algo bueno

A medida que los ciclos de vida de los certificados se acortan, la gestión de las fechas de renovación puede volverse un inconveniente. Pero las vidas de los certificados de un año (o incluso vidas más cortas) son beneficiosas para nuestra seguridad.

Certificados utilizados para usar el algoritmo SHA-1 para generar claves de certificado. A medida que ese algoritmo envejecía y se volvía cada vez más inseguro, las empresas de navegadores (sobre todo Google Chrome) querían dejar de confiar en SHA-1. Pero eliminar la compatibilidad con SHA-1 significaba que ya no se confiaría en muchos certificados de varios años. En consecuencia, se necesitaron tres años para realizar el cambio completo a SHA-2.

Una vida más corta del certificado significa que los cambios críticos de seguridad se pueden realizar más rápidamente. Y esas claves de certificado también son más seguras cuanto más frecuentemente se cambian. La emisión de un nuevo certificado con más frecuencia significa cambios de clave más frecuentes.

Si eres cliente de GreenGeeks

GreenGeeks emite certificados de un año de GlobalSign, por lo que su sitio web no se verá afectado por este cambio. Los certificados de Let's Encrypt siempre se han renovado cada 90 días, por lo que tampoco se ven afectados. Si tiene alguna pregunta sobre los certificados SSL/TLS o cualquier otra cosa, ¡ contáctenos ! Siempre estamos disponibles para responder a sus preguntas.

Subir