El CA/Browser Forum acordó en la votación SC-081v3 que para 2029, la validez máxima de los certificados se reducirá a 47 días, tras una disminución gradual respecto a los años anteriores.
Puntos clave:
- La gestión manual de certificados ya no es matemáticamente viable. La transición de los ciclos de vida anuales a los de 47 días aumenta nueve veces las cargas de trabajo operativas, lo que crea un margen de error muy reducido que convierte a las hojas de cálculo y calendarios tradicionales en una ruta garantizada para las interrupciones del servicio.
- La visibilidad es el requisito previo fundamental para la seguridad. A menudo, las grandes organizaciones se enfrentan a la TI en la sombra y a los puntos finales no documentados, lo que provoca tiempos de inactividad inesperados. Mantener un inventario centralizado y automatizado garantiza que todos los certificados se rastreen y se renueven antes de que caduquen.
- Las aplicaciones móviles se enfrentan a un riesgo único de quedarse "inutilizadas". A diferencia de los navegadores, las aplicaciones móviles a menudo incorporan una lógica de confianza estática que falla cuando los certificados de servidor rotan rápidamente, lo que hace necesario cambiar al anclaje dinámico o al anclaje de claves públicas para evitar la denegación de servicio inmediata a los usuarios.
- La infraestructura de confianza debe funcionar ahora a la velocidad de la distribución de software. El tratamiento de los certificados como tareas administrativas aisladas provoca cuellos de botella en la implementación; la integración del estado de los certificados directamente en los canales de integración e implementación continuas (CI/CD) permite a las organizaciones aplicar directivas de seguridad y validar la estrategia de confianza de forma continua.
- La automatización debe sustituir a la intervención humana para garantizar la resiliencia. La generación manual de CSR y las aprobaciones basadas en correo electrónico introducen latencia e incoherencias que no se pueden ampliar con límites de 47 días; la adopción de la automatización basada en eventos y en ACME garantiza que las renovaciones sean programáticas, repetibles y a prueba de fallos.
Preguntas frecuentes
Con la nueva exigencia, la reutilización de DCV se limitará a únicamente 10 días para 2029, lo que significa que las organizaciones deben demostrar la propiedad de su dominio casi cada semana.
Las aplicaciones móviles sufren una "brecha de asimetría" porque a menudo incrustan lógica de confianza o anclan certificados directamente en archivos binarios distribuidos, que no se pueden actualizar tan rápido como rotan los certificados del lado del servidor.
Akamai recomienda abandonar el anclaje de certificado leaf y realizar la transición al anclaje de información de clave pública del sujeto (SPKI), lo que permite que los certificados se vuelvan a emitir con nuevas fechas de caducidad mientras se reutiliza el mismo par de claves.
El primero es el certificado presentado por la plataforma en el Edge al usuario final, y el segundo es el certificado presentado por el servidor de origen a la plataforma en el Edge para mantener una cadena de confianza completa.
Si la rotación del certificado de origen requiere una intervención manual, Akamai sugiere anclar un certificado de origen específico en la configuración en el Edge como medida de interrupción, con un proceso para rotarlo anualmente o bianualmente.
El enlace de cuentas externas (EAB) de ACME es un mecanismo que vincula las solicitudes de certificado automatizadas a una cuenta verificada con una autoridad de certificación (CA). Garantiza que solo los usuarios autorizados puedan emitir certificados mediante la solicitud de pruebas criptográficas durante el registro de la cuenta. EAB se utiliza normalmente para aplicar el control de acceso, la facturación, el cumplimiento de directivas y la auditabilidad para la emisión automatizada de certificados.
La EAB de ACME permite interacciones autenticadas y basadas en políticas con entidades emisoras de certificados comerciales, lo que permite la automatización sin intervención, al tiempo que preserva los controles de identidad y los flujos de trabajo de aprobación existentes.
Los directivos deben priorizar la auditoría del inventario de certificados para establecer una única fuente fiable, asignar todas las dependencias de renovación manual y auditar las aplicaciones móviles para dejar atrás el anclaje de certificados leaf de alto riesgo.