BuscarAsistencia técnicaPrueba gratuita
Contacto
Sectigo Blog

Comprender los conectores DCV y DNS persistentes: Simplificación de la validación de dominios a escala

A medida que la vida útil de los certificados se reduce, la forma en que las organizaciones gestionan la validación de dominios debe evolucionar. La DCV persistente y el soporte ampliado del conector DNS en Sectigo Certificate Manager están diseñados para hacer que esa transición sea manejable a cualquier escala.

28 de mayo de 2026

El cambio en la industria se está acelerando

El sector TLS está experimentando una de sus transiciones operativas más importantes en años. Los mandatos de CA/Foro de Navegadores están comprimiendo los periodos de validez de los certificados y endureciendo las ventanas de reutilización de la validación de control de dominio (DCV). Para las organizaciones que gestionan certificados a gran escala, esto supone una gran preocupación para el futuro próximo.

El paso a ciclos de vida de los certificados de 47 días cambiará fundamentalmente la forma en que los equipos piensan sobre la renovación y la validación. Lo que solía ser una tarea anual se convertirá en un flujo de trabajo operativo continuo. Las organizaciones que dependen de actualizaciones manuales de DNS y procesos de renovación ad hoc se enfrentarán a una presión cada vez mayor a medida que estos cambios entren en vigor.

La presión se deja sentir de forma desigual. Las empresas que gestionan grandes conjuntos de certificados, certificados SAN complejos y dominios comodín son las primeras en sentirlo. Pero la realidad operativa es clara en todos los ámbitos: la gestión manual de certificados no se adaptará a las demandas de ciclos de vida más cortos.

Sectigo está ayudando a los clientes a adelantarse a este reto. A través del soporte para Persistent DCV en Sectigo Certificate Manager (SCM), combinado con un conjunto significativamente ampliado de integraciones de conectores DNS, los equipos pueden empezar a crear los flujos de trabajo listos para la automatización que necesitan antes de que estos cambios sean obligatorios.

¿Qué cambia? Comprender el nuevo calendario

El Foro CA/Browser ha establecido una trayectoria clara: Las pruebas DCV caducarán con más frecuencia y los certificados deberán renovarse en ciclos mucho más cortos. Para los equipos que actualmente dependen de actualizaciones ocasionales de DNS vinculadas a renovaciones anuales, la matemática operativa ya no cuadra.

El efecto acumulativo: los equipos que hoy gestionan las renovaciones manualmente se enfrentarán a las mismas tareas con una frecuencia entre cinco y ocho veces mayor. La coordinación de DNS, las aprobaciones de gestión de cambios y la validación por renovación se acumularán rápidamente, lo que supondrá un lastre operativo y un riesgo real de interrupción del servicio.

¿Qué es la DCV persistente?

La DCV persistente es un nuevo enfoque de la validación de dominios basada en DNS que elimina la necesidad de crear y actualizar repetidamente registros TXT de DNS en cada ciclo de renovación. En lugar de aprovisionar un registro temporal para cada evento de validación, una organización publica un único registro TXT persistente una vez. A continuación, la CA realiza comprobaciones de validación recurrentes contra ese registro de forma automática, sin requerir más intervención del DNS. A continuación se detallan las diferencias paso a paso:

DCV tradicional:

  1. Instale el conector DNS en su entorno
  2. Solicitar certificado
  3. Añadir registro TXT temporal
  4. Validar
  5. Eliminar/actualizar registro
  6. Repetir de nuevo en 100 o 47 días

DCV persistente:

  1. Publicar registro TXT persistente una vez
  2. La CA realiza comprobaciones de validación recurrentes automáticamente
  3. Renovar certificados continuamente sin cambios repetidos de DNS

Por qué el Foro CA/Browser introdujo la DCV persistente

El método de validación de DNS TXT persistente se introdujo a través de SC088, una votación del Foro de CA/navegadores patrocinada por Sectigo. La votación surgió de la opinión directa de los clientes: a medida que aumentaba la frecuencia de renovación de certificados, la carga operativa de las repetidas actualizaciones de DCV se estaba volviendo insostenible para los equipos empresariales.

El patrocinio de Sectigo de SC088 refleja un compromiso más amplio para dar forma a estándares que equilibren fuertes garantías de seguridad con practicidad operativa. La DCV persistente no reduce el rigor de la verificación de la propiedad del dominio. Cambia cuándo y cómo se realiza esa verificación, pasando de comprobaciones basadas en eventos a una validación continua y automatizada.

El Foro CA/Browser reconoció que la reducción de la vida útil de los certificados requiere un modelo de automatización escalable. La DCV persistente es la respuesta del sector a este requisito en la capa de validación.

Por qué la DCV persistente es importante para los equipos empresariales

El contexto empresarial es importante en este caso. Las grandes organizaciones no gestionan un puñado de certificados. Gestionan miles, a menudo en entornos que pertenecen a diferentes equipos, que utilizan diferentes proveedores de DNS y que se rigen por políticas de gestión de cambios que introducen tiempo de espera en cada actualización.

Entre los retos habituales a los que se enfrentan los equipos hoy en día se incluyen

  • Grandes conjuntos de certificados que abarcan varios entornos
  • Certificados SAN que agregan múltiples dominios que requieren una validación coordinada
  • Complejidad de los certificados Wildcard y mayor escrutinio en ciclos de vida más cortos.
  • Propiedad de DNS dividida entre equipos de infraestructura, redes y plataformas
  • Procesos de gestión de cambios que añaden días o semanas a las actualizaciones de DNS.
  • Riesgo de interrupción cuando los registros DCV caducan antes de que se completen las renovaciones.

Persistent DCV aborda directamente cada uno de estos puntos débiles:

  • Reducción de la sobrecarga operativa: Elimina el ciclo recurrente de actualización de DNS para los dominios establecidos.
  • Menor riesgo de interrupción: Elimina la posibilidad de que los registros DCV caducados provoquen renovaciones fallidas.
  • Mejor escalabilidad: Admite la automatización de certificados de gran volumen sin trabajo de DNS proporcional
  • Mayor preparación para la automatización: Alinea la validación de dominios con ciclos de certificados de 47 días y más cortos.
  • Cumplimiento simplificado: Facilita el mantenimiento y la demostración de la preparación para la validación continua.

Enfoque de Sectigo: DCV persistente y conectores DNS en SCM

Sectigo Certificate Manager ahora soporta registros Persistent DNS TXT para la automatización continua de DCV y una biblioteca significativamente expandida de integraciones de conectores DNS. Juntas, estas capacidades abordan las dos capas principales del desafío de validación de DNS: qué método se utiliza y cómo se ejecutan los cambios de DNS.

DCV persistente en SCM

La compatibilidad de SCM con DCV persistente permite a los equipos:

  • Publicar registros TXT persist entes para los dominios gestionados
  • Permitir la validación recurrente automatizada sin cambios de DNS adicionales
  • Reducir la dependencia de la coordinación manual de DNS en el momento de la renovación
  • Alinear los flujos de trabajo de validación con los requisitos operativos de ciclos de vida de certificados más cortos.

Esto es parte del enfoque más amplio de Sectigo Scalable DCV: tratar la validación de dominios como un sistema coordinado y automatizado en lugar de una tarea puntual en cada evento de renovación.

Soporte ampliado de conectores DNS

Para situaciones en las que todavía se requieren cambios de DNS (incluida la configuración inicial de registros persistentes o la gestión de nuevos dominios), los conectores de DNS de SCM automatizan la ejecución de dichos cambios directamente desde la plataforma.

Los conectores DNS de SCM se conectan directamente a su proveedor de DNS y permiten a SCM crear y validar automáticamente desafíos de registros DNS TXT en su nombre. En lugar de requerir la coordinación manual entre los equipos de certificados y los administradores de DNS, el conector gestiona la interacción DNS de forma programática, eliminando los puntos de contacto humanos y los retrasos que conllevan.

Sectigo amplía frecuentemente el soporte del conector DNS para cubrir una amplia gama de proveedores, con la cobertura más actualizada listada aquí.

Esta amplitud de cobertura refleja un esfuerzo deliberado por llegar a las organizaciones dondequiera que se encuentre su infraestructura DNS, ya sea un importante proveedor en la nube, una plataforma DNS empresarial especializada o un entorno autoalojado. La capa de integración LEGO va más allá, haciendo que la automatización de DNS de SCM sea accesible a través de más de 100 proveedores de DNS mediante una única arquitectura de conectores.

Cómo funcionan juntas las dos capacidades

Persistent DCV y los conectores DNS son complementarios, no intercambiables. Persistent DCV reduce la dependencia de los cambios de DNS durante el ciclo de renovación. Los conectores DNS automatizan los cambios de DNS que siguen siendo necesarios, incluida la publicación del registro persistente inicial. Juntos, proporcionan a los equipos dos palancas para reducir el trabajo manual de DNS:

  • Cuando se pueden utilizar registros persistentes, los puntos de contacto de DNS durante la renovación se eliminan por completo.
  • Cuando los cambios de DNS siguen siendo necesarios, los conectores automatizan la ejecución sin coordinación manual.

El efecto neto es un flujo de trabajo de validación que se escala limpiamente a medida que aumentan los volúmenes de certificados y las frecuencias de renovación.

Qué deben hacer los clientes ahora

La ventana para prepararse está abierta, pero se está estrechando. Las organizaciones que inicien la transición ahora estarán mejor posicionadas cuando lleguen los plazos obligatorios. Pasos recomendados:

  • Realice un inventario de su patrimonio de certificados: Identifique los certificados TLS públicos que caducan después del 15 de marzo de 2026 y evalúe qué dominios son candidatos para la DCV persistente.
  • Revise los registros DCV existentes: Identifique los registros DCV persistentes o antiguos que estén a punto de caducar para evitar fallos en la renovación.
  • Dar prioridad a los dominios SAN y comodín: Son los que conllevan una mayor sobrecarga de coordinación y los más sensibles desde el punto de vista operativo en plazos comprimidos.
  • Publicar registros TXT persistentes: Comience ahora la transición de los dominios establecidos a DCV persistentes, antes de que el aumento de la frecuencia de renovación lo exija a escala.
  • Adoptar ampliamente la automatización: Utilice los flujos de trabajo automatizados de validación recurrente de SCM y las funciones de automatización del ciclo de vida para reducir la intervención manual en todo el conjunto de certificados.

De cara al futuro: Preparación para los certificados de 47 días

La transición a los ciclos de vida de los certificados de 47 días requerirá un modelo operativo fundamentalmente diferente. Las organizaciones que superarán esta transición sin problemas serán las que ya hayan creado la infraestructura de automatización necesaria para ello, no las que luchen por ponerse al día cuando lleguen los plazos.

La DCV persistente es un paso significativo en esa dirección. Elimina una importante fuente de trabajo manual del ciclo de renovación, reduce una categoría común de riesgo de interrupción y alinea la validación de dominios con los ritmos operativos que exigen los ciclos de vida más cortos. Combinado con la biblioteca de conectores DNS ampliada de SCM, ofrece a los equipos una vía práctica para automatizar el último tramo de sus flujos de trabajo de certificados.

La gestión manual de certificados con frecuencias de renovación al ritmo de las máquinas no es una estrategia viable a largo plazo. Las organizaciones que inviertan ahora en una infraestructura de validación automatizada y repetible estarán mejor posicionadas para la realidad operativa que se avecina.

Empezar

La DCV persistente y la compatibilidad con conectores DNS ya están disponibles en Sectigo Certificate Manager. Para obtener más información o comenzar su transición

  • Póngase en contacto con su representante de Sectigo para hablar sobre su estado de certificados y evaluación de preparación
  • Explore la configuración de DCV persistente en SCM e identifique qué dominios transicionar primero
  • Revise los conectores DNS disponibles en SCM en Integraciones > Conectores DNS para encontrar la integración adecuada para su entorno.
  • Programe una evaluación de preparación para crear una hoja de ruta de automatización priorizada antes de que entren en vigor los mandatos de ciclos de vida más cortos.

Persistent DCV ayuda a las organizaciones a simplificar la validación de dominios mientras se preparan para la transición de la industria a ciclos de vida de certificados dramáticamente más cortos. Al reducir las actualizaciones repetitivas de DNS y permitir una preparación de validación continua, Sectigo Certificate Manager ayuda a las empresas a modernizar las operaciones de certificados antes de que estos cambios sean obligatorios.