Google ha estado promoviendo una validez de certificados más corta dentro del CA/Browser Forum durante años. Aunque sus esfuerzos para impulsar la validez máxima de un año dentro de ese ámbito, que es el que fija los estándares de la industria, han fracasado por el voto contrario de la mayoría de sus miembros, Google finalmente de manera unilateral decidió avanzar con esta restricción, sumándose a la decisión ya adoptada por Apple meses atrás, también de forma intempestiva.
El 11 de junio, Dean Coclin, presidente emérito del CA/Browser Forum, dio la noticia en Twitter de que Google seguirá la postura de Apple en la limitación de los certificados SSL / TLS públicos a partir del 1° de septiembre.
Entonces, ¿qué significa esto realmente para usted como propietario o administrador de un sitio web?
Para la mayoría de las personas, la restricción que impondrá Google no cambia realmente nada. El anuncio de Google es más formal que otra cosa ya que cuando apareció en febrero la noticia sobre el anuncio de Apple de establecer la limitación de un año de validez para los certificados, asumíamos que otros navegadores iban a seguir un comportamiento similar.
Este anuncio de Apple en febrero pasado forzó a las Autoridades Certificantes reconocidas a tomar la decisión de no emitir más certificados con plazos de validez superiores a los 398 días, a partir del próximo 1° de septiembre y de esa forma evitar que los usuarios de Internet tuvieran problemas al navegar. Esta decisión del navegador Chrome no genera nada diferente de lo ya adoptado.
La idea subyacente en exigir que los certificados tengan una duración máxima de un año es que una vida útil más corta y, por lo tanto, una emisión con mayor frecuencia, incrementa los niveles de seguridad.
Cómo la validez de un año afecta a los administradores del sitio
Pasar de dos años de validez del certificado a un año significa que el ciclo de vida se reduce esencialmente a la mitad. Esto significa que habrá que estar más atento que nunca a la fecha de vencimiento y deberá priorizarse la seguridad más que nunca.
Si usted es el administrador del sitio o su propietario, este cambio significa que tendrá un poco más de trabajo en términos de administración de sus certificados. El lado positivo es que tendrá una mayor seguridad, generada por:
Las claves de sus certificados se rotarán con más frecuencia.
Sus certificados tendrán información más actualizada.
No tiene que preocuparse tanto por los cambios en la tecnología. Por ejemplo, que los algoritmos utilizados se transformen en obsoletos en la mitad del ciclo y usted no se entere, lo que haría que sus certificados ya no sean válidos.
Esto también sirve como un recordatorio importante para los administradores de sitios: si usted quiere seguir aprovechando los certificados con una validez de dos años, debe comprar sus certificados ahora para que, salvo cualquier revocación, Safari y Chrome confíen en ellos durante los próximos dos años. Si elige esperar para comprar sus certificados hasta el 1° de septiembre o después, solamente podrá solicitar la emisión de certificados con una validez de un año.
El último anuncio de Google, aunque suena importante, es solo un paso más hacia la inevitabilidad de la validez de un año para los certificados SSL / TLS. A partir del 1° de septiembre de 2020, los certificados SSL / TLS públicos sólo se emitirán con un período de validez de un año, a pesar de que ese no haya sido el consenso entre los miembros del CA/ Browser Forum.