13 marzo 2026

7 min de lectura

A partir del 15 de marzo de 2026, los certificados TLS solo podrán tener una validez máxima de 200 días. En 2027 se reducirá a 100 días y, en 2029, se impondrá el límite definitivo de 47 días. Quien hoy gestione manualmente 1.000 certificados se enfrentará a un problema operativo: hasta 48.000 horas de esfuerzo anual de gestión para 2029. Sin automatización, la gestión de certificados se convertirá en un foco permanente de incendios operativos.

En resumen

  • 📅 A partir del 15 de marzo de 2026: validez máxima de los certificados TLS de 200 días. En 2027: 100 días. En 2029: límite definitivo de 47 días.
  • 📊 El 72 % de las empresas sufrieron al menos un fallo por caducidad de certificado en 2025 (Venafi, 2025).
  • ⚙️ El límite de 47 días implica una carga de trabajo de renovación ocho veces mayor que la actual. No es factible gestionarlo manualmente.
  • 🔐 El voto SC081v3 del CA/Browser Forum ya está aprobado. No es una cuestión de «si», sino de «cuándo».
  • 🏢 Let’s Encrypt, DigiCert y Sectigo ofrecen soluciones inmediatas basadas en ACME para la automatización.

Por qué los certificados más cortos suponen un riesgo operativo

Los certificados TLS son invisibles… hasta que expiran. Entonces, un detalle técnico se convierte en un incidente empresarial: los sitios web muestran advertencias de seguridad, las APIs devuelven errores 502, y los clientes ven el mensaje «Conexión no segura». En septiembre de 2021, un certificado caducado paralizó toda la red de Facebook durante seis horas. Las pérdidas estimadas: 65 millones de dólares estadounidenses en ingresos perdidos.

El State of Machine Identity Report 2025 de Venafi revela que el 72 % de todas las empresas experimentaron el año pasado al menos un incidente causado por un certificado caducado o mal configurado. La causa principal: la gestión manual mediante hojas de cálculo, en lugar de un gestión automatizada del ciclo de vida.

Con el nuevo límite de 200 días a partir de marzo de 2026, el problema se agrava drásticamente. Una empresa con 500 certificados tendrá que renovarlos casi el doble de veces que actualmente. Con el límite de 47 días a partir de 2029, serán ocho veces más renovaciones. Sin automatización, esto simplemente no es viable.

// Texto original

La reducción de la duración de los certificados no es un castigo para los equipos de TI. Es una respuesta a la realidad: los certificados comprometidos deben poder retirarse del tráfico mucho más rápido».

Versión adaptada del blog de DigiCert (2025)

Cronograma: de 200 a 47 días en tres etapas

El CA/Browser Forum ha aprobado formalmente, mediante el voto SC081v3, un plan escalonado vinculante:

Etapa 1 (15 de marzo de 2026): Validez máxima de 200 días. Para la mayoría de las empresas, perceptible, pero aún manejable con los procesos actuales.

Etapa 2 (15 de marzo de 2027): Validez máxima de 100 días. A partir de aquí, la gestión manual se convierte en un trabajo a tiempo completo. Renovaciones trimestrales para todo el portafolio.

Etapa 3 (15 de marzo de 2029): Validez máxima de 47 días. Renovaciones mensuales. Solo realizable con automatización completa.

200 días
A partir de marzo de 2026
100 días
A partir de marzo de 2027
47 días
A partir de marzo de 2029

Gestión automatizada del ciclo de vida de certificados (ACLM): las tres opciones

Opción 1: Protocolo ACME (modelo Let’s Encrypt). El Automatic Certificate Management Environment (ACME) es el estándar de facto para la gestión automatizada de certificados. Let’s Encrypt lo utiliza con éxito desde 2016. Clientes como Certbot, LEGO y otros automatizan por completo la solicitud, la validación y la renovación. Coste: nulo (con Let’s Encrypt) o mínimo. Limitación: únicamente certificados validados por dominio (DV), sin certificados de validación extendida (EV).

Opción 2: Plataformas comerciales de gestión de ciclos de vida de certificados (CLM). DigiCert CertCentral, Sectigo Certificate Manager, Venafi Trust Protection Platform. Estas soluciones gestionan centralizadamente todo el portafolio de certificados: descubrimiento, monitorización, renovación y revocación. Coste: a partir de unos 5.000 euros anuales para entornos de pymes. Ventaja: soporte para certificados OV/EV, múltiples autoridades de certificación (Multi-CA) e informes de cumplimiento normativo.

Opción 3: Enfoques nativos en la nube. AWS Certificate Manager, Azure Key Vault, Google Certificate Manager. Si su infraestructura ya se ejecuta en una nube, esta es la vía más sencilla: los certificados se crean, renuevan y despliegan automáticamente en los balanceadores de carga. Limitación: solo funciona dentro del respectivo ecosistema en la nube.

La postura contraria: por qué algunos directores de TI prefieren esperar

No todos los responsables de TI perciben la urgencia. Su argumento: el límite de 200 días aún es manejable, y el de 47 días está a tres años vista. ¿Por qué invertir ahora? La respuesta es sencilla: porque la migración a una gestión automatizada de certificados lleva entre 6 y 12 meses. Quien empiece solo en 2028 dispondrá de menos de un año hasta la fecha límite de los 47 días. Y cada fallo por caducidad de certificado en ese período costará más que la propia automatización.

Tres pasos para los próximos 90 días

Paso 1: Elaborar el inventario de certificados (semanas 1-2). ¿Cuántos certificados tiene? ¿Dónde están instalados? ¿Cuándo expiran? Herramientas como Venafi, Keyfactor o incluso scripts de OpenSSL pueden realizar este escaneo de forma automatizada. El resultado suele ser una sorpresa: muchas empresas descubren dos o tres veces más certificados de los que esperaban.

Paso 2: Elegir la estrategia de automatización (semanas 3-4). ACME para escenarios sencillos, CLM comercial para entornos complejos, soluciones nativas en la nube para entornos exclusivamente en la nube. Para la mayoría de las pymes de DACH, la combinación pragmática consiste en usar ACME (para servidores web) y una plataforma CLM comercial (para servicios internos).

Paso 3: Piloto con los sistemas más críticos (meses 2-3). No comience con todo a la vez. Identifique los 10 certificados cuya caducidad provocaría el mayor daño. Automatice su ciclo de vida como prueba de concepto (PoC). Luego, escale progresivamente.

Conclusión: los 47 días llegarán antes de lo que piensa

La reducción de la validez de los certificados TLS es un hecho irreversible. La cuestión no es si, sino con qué rapidez usted implementa la automatización. El límite de 200 días a partir de marzo de 2026 es la llamada de atención. Quien ahora elabore su inventario de certificados y defina una estrategia de automatización dispone de tres años para llevar a cabo una migración ordenada. Quien espere, acumulará un riesgo creciente de fallos. El coste de un único fallo por caducidad supera ampliamente la inversión en una solución de automatización CLM.

Preguntas frecuentes

¿Afecta la regla de los 200 días también a los certificados internos o solo a los públicos?

El voto SC081v3 del CA/Browser Forum afecta directamente únicamente a los certificados TLS de confianza pública (emitidos por autoridades de certificación como DigiCert, Let’s Encrypt o Sectigo). Los certificados internos (emitidos por una CA privada) no están directamente afectados. Sin embargo, los expertos en ciberseguridad recomiendan igualmente acortar la validez de los certificados internos, ya que un certificado interno comprometido representa un riesgo igual de gravedad.

Utilizamos certificados wildcard. ¿Algo cambia?

Sí, los certificados wildcard están sujetos a las mismas reglas de validez. A partir de marzo de 2026, su validez máxima será de 200 días; a partir de 2029, de 47 días. Los certificados wildcard presentan un perfil de riesgo superior: un certificado wildcard comprometido afecta a todos los subdominios. La validez más corta reduce esta ventana de exposición. Aquí, la automatización resulta especialmente crítica.

¿Cuál es el coste de la migración a una gestión automatizada de certificados?

ACME con Let’s Encrypt es gratuito (solo implica un esfuerzo de implementación: 1-2 días por tipo de servidor). Las plataformas CLM comerciales comienzan en torno a 5.000 euros anuales para 100 a 500 certificados. Las soluciones empresariales (Venafi, Keyfactor) oscilan entre 20.000 y 50.000 euros anuales. Frente a ello, el coste de un fallo: según el Instituto Ponemon, la media es de 300.000 euros por incidente relacionado con certificados.

¿Podemos seguir utilizando nuestro proveedor actual de CA?

Sí, pero únicamente si ofrece soporte para ACME. DigiCert, Sectigo, GlobalSign y la mayoría de las grandes autoridades de certificación ya proporcionan puntos finales ACME. Verifique si su proveedor actual incluye la gestión automatizada del ciclo de vida como característica. Si no es así, cambiar a un proveedor compatible con CLM constituye una inversión más inteligente que mantener procesos manuales.

¿Cómo detectamos si un certificado va a expirar antes de que cause un fallo?

Herramientas de monitorización como Nagios, Datadog o servicios especializados en monitorización de certificados (SSLMate, CertSpotter) pueden identificar certificados próximos a su caducidad con semanas de antelación. Como medida inmediata: un sencillo script Bash con openssl s_client, que revise diariamente todos los puntos finales externos y emita una alerta si la validez restante es inferior a 30 días. Esto no cuesta nada y evita los peores fallos.

Lecturas complementarias en la red

Más contenido del Media Network MBF

Fuente de imagen: Pexels

También disponible en

Una revista de Evernine Media GmbH