A partir de 2026 comienza una transición histórica en el ámbito de los certificados SSL/TLS. Las nuevas normas establecidas por el CA/Browser Forum obligarán a las autoridades certificadoras a acortar drásticamente la duración de los certificados, endurecer validaciones y empujar la automatización como pilar fundamental para mantener la seguridad en Internet.
A continuación, resumimos los cambios clave y su impacto.
1. Reducción de la validez máxima: de 398 días a 199 días
Desde febrero‑marzo de 2026, los certificados SSL/TLS públicos ya no podrán emitirse por ~1 año. Las principales CAs deberán limitar su validez a 199–200 días, según la fecha y la entidad emisora.
El calendario completo definido por la industria es:
| Periodo | Validez Máxima |
|---|---|
| Hasta marzo 2026 | 397–398 días |
| 2026–2027 | 199–200 días |
| 2027–2029 | 99–100 días |
| Desde 2029 | 46–47 días |
Esta reducción progresiva forma parte de una estrategia global para mejorar la seguridad y acelerar la rotación criptográfica.
2. La automatización deja de ser opcional
Con ciclos de vida tan cortos (y aún más en 2027 y 2029), la gestión manual de certificados se vuelve inviable.
El CA/Browser Forum y múltiples fabricantes coinciden en que la automatización de emisión, renovación e instalación será indispensable.
Las empresas deberán adoptar ACME, APIs de gestión o integraciones con plataformas de orquestación para evitar expiraciones inesperadas.
3. Reducción del periodo de reutilización de la validación de dominio (DCV)
La verificación DCV, necesaria para emitir un certificado, también sufre recortes relevantes:
- Antes de 2026: hasta 397 días.
- Desde 2026: 199–200 días.
- Desde 2027: 99–100 días.
- Desde 2029: 9–10 días.
Esto implica validaciones más frecuentes y una fuerte recomendación de utilizar métodos basados en DNS, más robustos y automatizables.
4. Introducción de MPIC (Multi‑Perspective Issuance Corroboration)
La validación multi‑perspectiva (MPIC) pasará a ser un requisito para mejorar la precisión y minimizar ataques relacionados con manipulaciones de DNS o rutas de red.
Este mecanismo comprueba el control del dominio desde múltiples ubicaciones e infraestructuras independientes.
5. Reemisión automática dentro de las compras anuales
Aunque los certificados ya no puedan durar un año entero, las CAs seguirán ofreciendo productos anuales, pero fraccionados:
- Cada emisión tendrá 199 días.
- Al expirar, se reemitirá otro por el tiempo restante del año (aprox. 166–167 días).
- Será necesario reinstalar el certificado reemitido (de forma manual o automatizada).
Este modelo garantiza que los usuarios sigan recibiendo un año completo de servicio según lo contratado, a pesar de las nuevas restricciones de validez.
6. Afecta a todo el ecosistema, no solo a los sitios web
Las normas no se aplican únicamente a webs públicas. También afectan a:
- APIs y microservicios
- Plataformas cloud
- CDNs
- Load balancers y firewalls
- Servicios SaaS
- Infraestructuras de borde (edge)
Cualquier entorno que utilice certificados de confianza pública debe adaptarse a los nuevos ciclos cortos.
7. ¿Por qué se aplican estos cambios?
✔ Mayor seguridad ante certificados comprometidos
Certificados de vida corta reducen el tiempo útil de un certificado robado o mal emitido.
✔ Preparación para la criptografía post‑cuántica
Las futuras transiciones criptográficas requieren ciclos rápidos de renovación.
✔ Homogeneización y resiliencia del ecosistema digital
Se busca un entorno más consistente entre navegadores, CAs y plataformas tecnológicas.
Conclusión
El 2026 marca el inicio de un cambio profundo en la forma en que se gestionan los certificados SSL/TLS. Con ciclos de vida acelerados, validaciones más frecuentes y la necesidad de automatización, las organizaciones deben actuar ya para evitar interrupciones y mantener el máximo nivel de seguridad.
El futuro de TLS será más ágil, más seguro y más automatizado. Prepararse ahora no solo garantiza continuidad, sino que posiciona a las organizaciones ante una nueva era de seguridad digital.