Blog

Los certificados cambian para siempre (y muchas infraestructuras no están preparadas)

|  Jordi Genescà Prat

Certificados SSL

Los certificados cambian para siempre (y muchas infraestructuras no están preparadas)

Si gestionas certificados de servidores, servicios web, correo electrónico, APIs o aplicaciones internas, esto te afecta. Desde hace tiempo la industria viene avisando de un cambio profundo en los periodos de validez de los certificados digitales, pero ahora ese cambio deja de ser una previsión y pasa a ser inminente.

A partir de 2026, los certificados dejarán de comportarse como lo han hecho durante años: ciclos de validez más cortos, renovaciones mucho más frecuentes y una mayor exposición al riesgo si la gestión sigue siendo manual. No es una decisión de un proveedor concreto ni una cuestión comercial. Es un cambio estructural en cómo se gestiona la confianza en Internet.

En este artículo explicamos qué está cambiando, por qué afecta a todos los tipos de certificados y por qué muchas infraestructuras pueden verse afectadas incluso aunque el certificado esté correctamente contratado y pagado.

Por qué están cambiando los periodos de validez de los certificados

La reducción de la validez de los certificados digitales no responde a una moda ni a una estrategia comercial aislada. Forma parte de una evolución impulsada por el CA/Browser Forum, el organismo que define los requisitos de seguridad que deben cumplir las autoridades de certificación y los navegadores.

El objetivo es reducir la ventana de riesgo. Cuanto menor es el tiempo de validez de un certificado, menor es el impacto potencial de una clave comprometida, un algoritmo debilitado o una configuración incorrecta que pase desapercibida durante largos periodos.

Este proceso no es nuevo. A lo largo de los años, la duración máxima de los certificados se ha ido reduciendo de forma progresiva. El paso a periodos de aproximadamente seis meses es la continuación lógica de una tendencia clara hacia ciclos más cortos y controlados.

Qué cambia exactamente a partir de 2026

A partir de 2026, los certificados digitales públicos emitidos bajo los nuevos requisitos tendrán una validez máxima aproximada de 199 días por emisión. Aunque el foco suele ponerse en los certificados SSL/TLS para web, este cambio afecta de forma directa a todo el ecosistema de certificados de servidor, incluyendo:

  • Certificados TLS/SSL para sitios web y aplicaciones
  • Certificados utilizados en servidores de correo (SMTP, IMAP, POP, STARTTLS)
  • Certificados para APIs y servicios expuestos
  • Certificados en entornos híbridos o cloud
  • Certificados asociados a infraestructuras internas conectadas a Internet

Un aspecto clave es que la contratación no cambia, pero la operativa sí. Se podrán seguir contratando certificados por uno o varios años, pero cada certificado emitido dentro de ese periodo tendrá una duración mucho menor y deberá renovarse varias veces.

Además, los periodos de reutilización de validaciones, tanto de dominio como de organización, también se reducen, introduciendo más eventos críticos en el ciclo de vida del certificado.

Lo que sí es cierto… y lo que no

Alrededor de estos cambios han surgido muchos mensajes confusos que conviene aclarar.

No es cierto que los certificados dejen de funcionar por un problema de facturación o de contratación. Tampoco es cierto que este cambio afecte solo a determinadas autoridades de certificación. Se trata de una modificación normativa que impacta a todos los certificados públicos, independientemente del proveedor.

Lo que sí es cierto es que los procesos manuales dejan de ser sostenibles. Lo que antes se resolvía con una renovación puntual al año, ahora pasa a repetirse varias veces, aumentando la carga operativa y el margen de error.

El impacto real en empresas y equipos técnicos

El impacto de este cambio no se mide por el número de certificados contratados, sino por el número de servicios que dependen de ellos. Webs, servidores de correo, APIs, integraciones entre sistemas o entornos de producción y pruebas tienen algo en común: si el certificado caduca, el servicio deja de funcionar, aunque esté correctamente pagado.

En organizaciones con múltiples servicios y entornos, este nuevo escenario implica:

  • Más renovaciones a lo largo del año, no solo para webs, sino también para correo y servicios críticos
  • Mayor dependencia de validaciones periódicas que pueden retrasarse
  • Más puntos donde un error humano puede provocar una interrupción
  • Incremento del riesgo de incidencias por certificados caducados

Este tipo de fallos siguen siendo una de las causas más habituales de interrupciones de servicio evitables.

Renovaciones más frecuentes: el riesgo oculto

Uno de los aspectos más importantes es que la validez operativa del certificado es independiente de su contratación. Un certificado puede estar contratado por un año o más y, aun así, dejar de funcionar si no se renueva o reemite a tiempo conforme a los nuevos plazos.

Los problemas más habituales en este contexto suelen venir de:

  • Renovaciones que no se ejecutan a tiempo pese a estar cubiertas contractualmente
  • Certificados instalados en servicios menos visibles, como servidores de correo o APIs internas
  • Falta de visibilidad centralizada sobre dónde se utilizan los certificados
  • Procesos manuales que dependen de personas concretas o recordatorios informales

Con ciclos de seis meses, cualquier descuido se convierte rápidamente en una incidencia.

Automatización y gestión del ciclo de vida de certificados

En este nuevo escenario, el reto ya no es emitir certificados, sino gestionar su ciclo de vida completo. Esto implica saber qué certificados existen, dónde están instalados, cuándo caducan, qué validaciones requieren y qué servicios dependen de ellos.

Las soluciones de Certificate Lifecycle Management (CLM) permiten centralizar la gestión de certificados web, de correo y de servidores, automatizar renovaciones y reducir la dependencia de tareas manuales.

Herramientas como CertGuardian están pensadas para este contexto: múltiples certificados, ciclos de validez más cortos y necesidad de control continuo. Su función no es sustituir al certificado, sino evitar que una renovación olvidada deje fuera de servicio una web, un servidor de correo o una API crítica.

Cómo empezar a prepararse

Prepararse para este cambio no implica una transformación inmediata, pero sí una revisión de procesos. El primer paso es obtener visibilidad real sobre los certificados existentes y los servicios que dependen de ellos.

A partir de ahí, conviene analizar cómo se gestionan las renovaciones, qué validaciones intervienen y qué puntos pueden generar fricción. Cuanto antes se haga este análisis, mayor será el margen para adaptarse de forma ordenada y sin urgencias.

Conclusión: no es un cambio técnico, es un cambio operativo

La reducción de los periodos de validez de los certificados digitales no introduce una nueva tecnología, sino una nueva forma de operar. El riesgo no está en el certificado, sino en seguir gestionándolo como si nada hubiera cambiado.

Un certificado puede dejar de funcionar aunque esté correctamente contratado. La diferencia entre sufrir este cambio o absorberlo sin impacto está en una sola cuestión: el control del ciclo de vida de los certificados.

En este nuevo escenario, gestionar certificados de forma manual deja de ser una opción fiable y pasa a convertirse en un riesgo operativo.

Categorías
Últimas entradas
Entorno Digital
Los certificados cambian para siempre (y muchas infraestructuras no están preparadas)