El período de validez para certificados SSL/TLS pasa a ser de 398 días

Desde el pasado día 1 de Septiembre de 2020 (hace escasos dos días) los administradores de certificados van a tener algo más de «curro». La reducción del período de validez desde los 825 días anteriores a los 398 actuales tiene la culpa.

Durante los últimos años hemos asistido a diversas reducciones en los tiempos de validez, siendo la primera de ellas negociada en 2011 (de 8 a 5 años) , después en 2015 (se pasó de 5 a 3 años) y la tercera en 2018, pasando de los 3 años a los 2 actuales.

En adelante, se intentó reducir aún más hasta aproximadamente un año, siendo en principio rechazado por el Certification Authority Browser Forum. Sin embargo, al ponerse de acuerdo los grandes de la industria al final se trata de una política de hechos consumados. Estos grandos son Apple, Google y Mozilla.

Nuevo período de validez TLS, implicaciones

Mucho se ha sugerido desde Febrero de este año sobre el alcance de esta nueva normativa. Lo primero que cabe dejar claro es que no afectará a las PKI internas de cada empresa, sino únicamente a los certificados emitidos por CA públicas.

Empezando con Chrome v85 y para todos los certificados desde el próximo 01-09-2020 00:00:00 UTC, solo se admitirá un período de validez de 398 días o inferior. Esto solo afectará a certificados TLS para servidores incluidos en instalaciones por defecto de Google Chrome.

Certificate lifetimes (Chromium project)

Un certificado se rige por el período de validez definido en RFC 5280, sección 4.1.2.5: «el período de tiempo entre notBefore y notAfter, inclusive«.

¿Necesito actualizar mi certificado SSL/TLS actual para cumplir con la nueva normativa?

Depende. Si tu certificado fue emitido antes del 01 de Septiembre de 2020, no está afectado por la norma. Pero cuando expire, deberá ser reemplazado con uno que tenga validez máxima de 397 días.

El resto de certificados firmados antes de la fecha comentada conservarán su fecha de validez original.

¿Cuál es el motivo del cambio?

Tanto Google como Apple dejan claro que les motiva el incrementar la seguridad de los certificados. Acortar el período de validez de un SSL/TLS permite reducir el tiempo de exposición a ataques en caso de verse comprometidas algunas claves privadas.

¿Qué pasará si no actualizo este período?

Sencillamente, que se rechazará este certificado cuando sea comprobado por el navegador, apareciendo el siguiente mensaje en pantalla (caso de Google):

ERR_CERT_VALIDITY_TOO_LONG

En este caso habrá que acceder de forma no segura al recurso (si es que el servidor lo permite), solucionarlo, o utilizar otra forma de navegar.

Conclusiones

Por su parte, Microsoft, Mozilla, Opera y 360 han indicado anteriormente que soportan el nuevo estándar, aunque aún no han dado tantos detalles. En el caso de Apple hay afectación directa para los certificados Root CA preinstalados en iOS, iPadOS, macOS, watchOS y tvOS.

Lo bueno es que muchas CA públicas ya se han comprometido a respetar un coste similar al período de vigencia anterior, a pesar de renovarse más frecuentemente.

Es necesario que las empresas (si no lo han hecho ya) actualicen sus plantillas para tratar las solicitudes de firma de certificados apropiadamente.