La vida útil máxima de los certificados SSL / TLS es de 398 días a partir de septiembre

A partir de este 1 de septiembre, la vida útil de los nuevos certificados TLS se limitará a 398 días, un poco más de un año, desde la vida útil máxima del certificado anterior de 27 meses (825 días).

En un movimiento destinado a aumentar la seguridad, Apple, Google y Mozilla están listos para rechazar los certificados digitales rooteados públicamente en sus respectivos navegadores web que vencen más de 13 meses (o 398 días) desde su fecha de creación.

La vida útil de los certificados SSL / TLS se ha reducido significativamente durante la última década. En 2011, el Certification Authority Browser Forum (CA / Browser Forum), un consorcio de autoridades de certificación y proveedores de software de navegador, impuso un límite de cinco años, reduciendo el período de validez del certificado de 8 a 10 años.

Posteriormente, en 2015, se redujo a tres años y nuevamente a dos años en 2018.

Aunque la propuesta de reducir la vida útil de los certificados a un año fue rechazada en una votación en septiembre pasado, la medida ha sido apoyada de manera abrumadora por los fabricantes de navegadores como Apple, Google, Microsoft, Mozilla y Opera.

Luego, en febrero de este año, Apple se convirtió en la primera compañía en anunciar que tiene la intención de rechazar los nuevos certificados TLS emitidos a partir del 1 de septiembre que tengan una validez de más de 398 días. Desde entonces, tanto Google como Mozilla han seguido su ejemplo para hacer cumplir límites similares de 398 días.

Los certificados emitidos antes de la fecha de cumplimiento no se verán afectados, ni los emitidos por autoridades de certificación raíz (CA) agregadas por el usuario o agregadas por el administrador.

«Las conexiones a servidores TLS que violen estos nuevos requisitos fallarán», explicó Apple en un documento de soporte . «Esto puede causar fallas en la red y las aplicaciones y evitar que los sitios web se carguen».

Por su parte, Google pretende rechazar los certificados que infrinjan la cláusula de vigencia con el error «ERR_CERT_VALIDITY_TOO_LONG» y tratarlos como mal emitidos.

Además, algunos proveedores de certificados SSL, como Digicert y Sectigo ya han dejado de emitir certificados con una validez de dos años.

Para evitar consecuencias no deseadas, Apple recomienda que los certificados se emitan con una validez máxima de 397 días.