A partir de hoy, la vida útil de los nuevos certificados TLS se limitará a 398 días, un poco más de un año, desde la vida útil máxima del certificado anterior de 27 meses (825 días).
En un movimiento destinado a aumentar la seguridad, Apple, Google y Mozilla están configurados para rechazar los certificados digitales rooteados públicamente en sus respectivos navegadores web que vencen más de 13 meses (o 398 días) desde su fecha de creación.
La vida útil de los certificados SSL / TLS se ha reducido significativamente durante la última década. En 2011, el Certification Authority Browser Forum (CA / Browser Forum), un consorcio de autoridades de certificación y proveedores de software de navegador, impuso un límite de cinco años, reduciendo el período de validez del certificado de 8 a 10 años.
Posteriormente, en 2015, se redujo a tres años y nuevamente a dos años en 2018.
Aunque la propuesta de reducir la vida útil de los certificados a un año fue rechazada en una votación en septiembre pasado , la medida ha sido apoyada de manera abrumadora por los fabricantes de navegadores como Apple, Google, Microsoft, Mozilla y Opera.
Luego, en febrero de este año, Apple se convirtió en la primera compañía en anunciar que tiene la intención de rechazar los nuevos certificados TLS emitidos a partir del 1 de septiembre que tengan una validez de más de 398 días. Desde entonces, tanto Google como Mozilla han seguido su ejemplo para hacer cumplir límites similares de 398 días.
Los certificados emitidos antes de la fecha de cumplimiento no se verán afectados, ni los emitidos por autoridades de certificación raíz (CA) agregadas por el usuario o agregadas por el administrador.
«Las conexiones a servidores TLS que violen estos nuevos requisitos fallarán», explicó Apple en un documento de soporte . «Esto puede causar fallas en la red y las aplicaciones y evitar que los sitios web se carguen».
Por su parte, Google pretende rechazar los certificados que infrinjan la cláusula de vigencia con el error «ERR_CERT_VALIDITY_TOO_LONG» y tratarlos como mal emitidos.
Además, algunos proveedores de certificados SSL, como Digicert y Sectigo ya han dejado de emitir certificados con una validez de dos años.
Para evitar consecuencias no deseadas, Apple recomienda que los certificados se emitan con una validez máxima de 397 días.
¿Por qué acortar la vida útil del certificado?
Limitar la vida útil de los certificados mejora la seguridad del sitio web porque reduce el período en el que se pueden explotar certificados falsos o comprometidos para montar ataques de phishing y malware.
Eso no es todo. Las versiones móviles de Chrome y Firefox no comprueban de forma proactiva el estado del certificado debido a limitaciones de rendimiento, lo que provoca que los sitios web con certificados revocados se carguen sin avisar al usuario.
Para los desarrolladores y propietarios de sitios, el desarrollo es un buen momento para implementar la automatización de certificados utilizando herramientas como Let’s Encrypt y CertBot de EFF , que ofrecen una manera fácil de configurar, emitir, renovar y reemplazar certificados SSL sin intervención manual.
«Los certificados vencidos continúan siendo un problema enorme, que cuesta a las empresas millones de dólares debido a interrupciones cada año», dijo Chris Hickman, director de seguridad de Keyfactor. «Además de eso, las advertencias de certificados caducados más frecuentes pueden hacer que los visitantes de la web se sientan más cómodos pasando por alto las advertencias de seguridad y los mensajes de error».
«Sin embargo, los suscriptores de certificados olvidan con frecuencia cómo o cuándo reemplazar los certificados, lo que provoca interrupciones del servicio por vencimientos inesperados […] dejándolos mal equipados para administrar estos nuevos certificados de vida más corta a escala».