El CA/Browser Forum (el organismo de la industria que establece los estándares de certificados SSL) votó en abril de 2025 para reducir progresivamente la validez máxima de los certificados de 398 días a 47 días para marzo de 2029. Esto afecta a todas las Autoridades Certificadoras — de pago y gratuitas por igual.
El cronograma
| Fecha efectiva | Validez máxima | Reutilización máxima DCV | Impacto |
|---|---|---|---|
| Antes de marzo 2026 | 398 días (13 meses) | 398 días | Estado actual |
| 15 de marzo 2026 | 200 días | 200 días | Las CAs de pago deben emitir certificados más cortos |
| 15 de marzo 2027 | 100 días | 100 días | Acercándose al modelo de 90 días de Let’s Encrypt |
| 15 de marzo 2029 | 47 días | 10 días | Todos los certificados necesitan renovación frecuente |
Reutilización DCV = cuánto tiempo puede reutilizarse un resultado de validación de control de dominio. Para 2029, el control del dominio debe reverificarse cada 10 días, incluso si el certificado es válido por 47.
Por qué está sucediendo
Los certificados de corta duración son más seguros:
- Ventana de exposición reducida — si una clave se ve comprometida, el daño se limita al período de validez restante
- Revocación más rápida — los mecanismos de revocación (CRL, OCSP) no son confiables; la validez corta los hace menos críticos
- Automatización forzada — la renovación manual no escala a 47 días, empujando a la industria hacia la gestión automatizada de certificados
- Validación fresca — la verificación frecuente del control del dominio detecta DNS obsoleto, dominios vendidos o cambios de propiedad más rápido
Apple propuso este cambio, y los cuatro principales proveedores de navegadores (Apple, Google, Mozilla, Microsoft) votaron a favor.
Qué significa para ti
Si usas Let’s Encrypt (certificados de 90 días)
No cambia mucho inmediatamente. Ya renuevas cada 60-90 días. Para 2029, tu cadencia de renovación se ajustará de cada 60 días a cada ~30 días.
Acción necesaria: Asegúrate de tener automatización de renovación confiable (cron de Certbot, cron de acme.sh) o un proceso manual confiable (GetHTTPS con recordatorios de calendario).
Si usas certificados de pago (certificados de 1 año)
Este es un cambio mayor. Para marzo 2026, tu validez máxima baja a 200 días. Para 2029, baja a 47 días — idéntico al modelo de Let’s Encrypt.
Acción necesaria: Empieza a planificar la automatización. La ventaja de costo de los certificados de pago (mayor validez = menos renovaciones) está desapareciendo. Muchas organizaciones cambiarán a certificados gratuitos de Let’s Encrypt con renovación automatizada.
Si gestionas muchos certificados
La validez de 47 días en cientos de dominios significa miles de renovaciones por año. La gestión manual se vuelve imposible.
Acción necesaria: Implementa automatización basada en ACME (Certbot, acme.sh o una plataforma de gestión de certificados).
El fin del «configurar y olvidar»
El mayor impacto práctico: ya no puedes comprar un certificado de 1 año y olvidarte de él. Para 2029, cada sitio web necesita un pipeline de renovación automatizado o alguien renovando manualmente cada mes.
Esto nivela el campo de juego entre CAs gratuitas y de pago — cuando todos renuevan cada 47 días, la ventaja de mayor validez de los certificados de pago desaparece por completo.
Cambios en la reutilización de DCV (frecuentemente pasados por alto)
La misma votación del CA/B Forum también reduce los períodos de reutilización de la Validación de Control de Dominio (DCV):
| Fecha | Reutilización máxima DCV |
|---|---|
| Actual | 398 días |
| Marzo 2026 | 200 días |
| Marzo 2027 | 100 días |
| Marzo 2029 | 10 días |
Reutilización DCV = cuánto tiempo una CA puede reutilizar un resultado previo de validación de dominio. Para 2029, la CA debe reverificar tu control del dominio cada 10 días — incluso aunque el certificado sea válido por 47 días. Esto significa que la validación no puede ser un evento único; debe estar completamente automatizada.
Para clientes ACME (GetHTTPS, Certbot, acme.sh), esto es transparente — cada renovación incluye un desafío fresco. Para flujos de trabajo manuales con CAs comerciales, esto añade una carga operacional significativa.
Cómo prepararse ahora
Si ya usas Let’s Encrypt + Certbot/acme.sh
Ya estás en certificados de 90 días con renovación automatizada. No se necesita acción. Cuando la validez baje a 47 días, tu tarea cron lo maneja — ya verifica dos veces al día.
Si usas GetHTTPS (renovación manual)
Actualmente renuevas cada ~60 días. Con certificados de 47 días, eso se convierte en cada ~30 días. Opciones:
- Continuar manual — configurar recordatorios cada 30 días. Viable para 1-3 dominios.
- Enfoque híbrido — usar GetHTTPS para el primer certificado, luego instalar Certbot para renovación automática.
- Esperar y ver — el límite de 47 días es para marzo 2029. Tienes tiempo.
Si usas certificados de pago de 1 año
Empieza a planificar ahora:
- Evaluar Let’s Encrypt — para 2029, los certificados de pago y gratuitos tendrán la misma frecuencia de renovación. ¿Vale la pena la prima?
- Implementar automatización ACME — incluso las CAs comerciales soportan ACME (DigiCert, Sectigo)
- Presupuestar herramientas de automatización — plataformas de gestión del ciclo de vida de certificados si gestionas 100+ certificados
Quién votó por esto
La votación (SC-081) fue apoyada por los cuatro principales proveedores de navegadores:
- Apple — propuso el cambio
- Google — votó a favor
- Mozilla — votó a favor
- Microsoft — votó a favor
La oposición de las CA fue mixta, pero los proveedores de navegadores tienen poder de veto. El cambio está sucediendo.
Preguntas frecuentes
¿Let’s Encrypt cambiará su validez de 90 días?
Let’s Encrypt puede reducir a 47 días cuando las nuevas reglas entren en vigor, o mantener 90 días si todavía está dentro del máximo. De cualquier manera, el proceso de renovación no cambia — y la mayoría de los usuarios ya renuevan en el día 60.
¿Esto afecta a los certificados ya existentes?
No. Los certificados ya emitidos siguen siendo válidos hasta su fecha de vencimiento declarada. Las nuevas reglas aplican a certificados emitidos después de las fechas efectivas.
¿Debería cambiar a Let’s Encrypt ahora?
Si estás pagando por certificados de 1 año, la relación costo/beneficio está cambiando rápidamente. El modelo de 90 días de Let’s Encrypt ya está más cerca del futuro de 47 días, y el ecosistema (Certbot, acme.sh, GetHTTPS) es maduro. Cambiar ahora significa que estarás listo cuando llegue el cambio.
¿Esto romperá dispositivos o navegadores antiguos?
No. El cambio es sobre validez máxima, no sobre el formato del certificado o la versión TLS. Los dispositivos antiguos que funcionan con los certificados actuales funcionarán con los de menor duración. El dispositivo no sabe ni le importa cuánto dura el certificado — solo verifica la fecha de vencimiento.
¿Qué hay de los certificados internos/privados?
Este cambio aplica solo a certificados de confianza pública (los que están en los almacenes de confianza de los navegadores). Las CAs internas que emiten certificados para redes corporativas no están sujetas a las reglas del CA/B Forum.