El reloj de TLS: Fechas clave del ciclo de vida de los certificados que debe conocer
El cambio a la validez de 6 meses (199 días) de los certificados SSL/TLS a partir del 15 de marzo de 2026 marca el inicio de una rápida aceleración hacia ciclos de vida más cortos, que en última instancia alcanzarán los 46 días en 2029. A medida que se multipliquen los volúmenes de renovación, los procesos manuales fallarán bajo presión, dejando al descubierto lagunas en la visibilidad, la propiedad y la automatización. Las organizaciones deben adoptar la gestión del ciclo de vida de los certificados (CLM) para automatizar el descubrimiento, la emisión y la renovación a escala, garantizando la resistencia, evitando interrupciones y preparándose para un futuro marcado por las operaciones continuas de certificados y las demandas post-cuánticas.
Tabla de contenido
- Por qué su equipo necesita prepararse hoy
- 2026: Fin de la era de los certificados de un año
- 2027: La aceleración y la muerte definitiva de los certificados de un año
- 2029: Los certificados se convierten en un acontecimiento mensual
- 2030 y más allá: Ciclos de vida cortos, presión cuántica y lo que vendrá después
- ¿Qué tengo que hacer hoy?
Por qué su equipo debe prepararse hoy
La sustitución de certificados a escala ya no es un escenario "post-cuántico algún día". A medida que el sector pasa de renovaciones anuales a ciclos que se miden en meses, y luego en semanas, todas las organizaciones se verán empujadas hacia una emisión, validación y despliegue más frecuentes. Esto significa que la capacidad de sustituir certificados en masa (de forma rápida, segura y sin interrupciones) se convierte en un requisito básico.
Una vida útil más corta lo comprime todo: la precisión del inventario, las aprobaciones, la validación del control de dominio (DCV), las ventanas de cambio y los flujos de trabajo de despliegue. Cuando la vida útil se reduce a 199 días, luego a 99 días y, por último, a 46 días, el volumen de renovación se duplica (2x), luego se vuelve a duplicar (4x) y, por último, se triplica (12x). Cualquier laguna en la detección, propiedad o automatización de procesos se manifiesta inmediatamente en forma de renovaciones fallidas, puntos finales caducados y trabajo de emergencia.
La gestión del ciclo de vida de los certificados (CLM) resuelve el problema de la "sustitución masiva" convirtiendo el trabajo con certificados en un sistema controlado y repetible. Con la gestión del ciclo de vida de los certificados, los equipos pueden descubrir certificados de forma continua, estandarizar políticas, automatizar la emisión/renovación, orquestar implantaciones y demostrar el cumplimiento, de modo que cuando la vida útil se acorte aún más (o cuando se requiera un cambio urgente de clave/algoritmo), pueda rotar los certificados entre entornos en horas o días en lugar de tener que luchar durante semanas.
A continuación se muestra una cronología de las fechas más importantes que debe tener en cuenta, por qué son importantes y qué tipo de impacto cabe esperar.
2026: Fin de la era de los certificados de un año
12 de marzo de 2026: Fin de la era Sectigo
El 12 de marzo es el último día en que Sectigo emitirá certificados TLS públicos. La fecha se eligió intencionadamente para que cayera en día laborable, dando a las organizaciones un pequeño margen antes de que los cambios más amplios de la industria entren en vigor.
Ese día
- Sectigo deja de emitir certificados TLS públicos de 1 año/398 días.
- La reutilización de DCV se reduce de un año a 198 días.
14 de marzo de 2026: El último día de "Business as Usual" para todo el sector.
Este es el último día en que cualquier autoridad de certificación puede operar con el modelo de vida útil del certificado de 398 días/1 año.
En este día
- Último día en que cualquier CA puede emitir un certificado de 398 días
- Último día para reutilizar DCV durante más de 198 días
- Último día para reutilizar OV durante más de 366 días
Si necesita un último certificado de larga duración o una reutilización de validación ampliada, esta es su fecha límite.
15 de marzo de 2026: entrada en vigor del cambio de normativa
El 15 de marzo es cuando las nuevas normas entran oficialmente en vigor.
Ese día
- La duración máxima de los certificados TLS se reduce a 199 días.
- La reutilización máxima de DCV se reduce a 199 días
- La reutilización de OV se limita a 366 días.
Nuestros expertos esperan un importante pico de revalidación de DCV. Este es el primer momento en el que las lagunas de automatización empiezan a hacer daño. Los equipos que aún dependen de flujos de trabajo de renovación de DCV manuales o poco frecuentes lo notarán rápidamente.
30 de septiembre de 2026: El "Día del Juicio Final"
Seis meses más tarde, la realidad se impondrá. Los primeros certificados de 199 días comenzarán a caducar, y empezaremos a ver los efectos de la reducción de la vida útil de los certificados en tiempo real para las empresas que no estén preparadas.
Ese día
- El volumen de renovación se duplica
Se trata de la primera gran prueba de resistencia operativa del nuevo ciclo de vida. Si no estaba preparado antes, ahora definitivamente lo notará.
2027: La aceleración y la muerte definitiva de los certificados de un año
14 de marzo de 2027: Los últimos certificados de 199 días
En este día:
- Es el último día en que una CA puede
- Emitir un certificado de 199 días
- Reutilizar un DCV durante más de 99 días
Este día también marca el comienzo de la última ventana de caducidad para los certificados heredados de un año.
15 de marzo de 2027: Bienvenidos a los certificados de 99 días
Un año después de la implantación de la vida útil de 199 días para los certificados, asistimos a una nueva reducción por mandato del Foro CA/Browser.
Ese día:
- La vida útil máxima de los certificados desciende a 99 días
- La reutilización de DCV baja a 99 días
Se espera otro pico (menor) de revalidación de DCV. En este momento, las operaciones trimestrales de certificados pasan a ser obligatorias en lugar de opcionales.
16 de abril de 2027: Los certificados de un año desaparecen por completo
Este es el último día posible en que un certificado de 398 días con derechos adquiridos puede seguir activo. Después del 16 de abril:
- Los certificados TLS públicos de un año dejan de existir en Internet.
27 de junio de 2027: La oleada de vencimientos de 99 días
Los primeros certificados de 99 días (emitidos el 15 de marzo) empiezan a caducar, y el volumen de renovación vuelve a duplicarse. A mediados de 2027, el tráfico de renovaciones ya es varias veces superior al que experimentan la mayoría de las organizaciones en la actualidad.
29 de septiembre de 2027: El fin de los certificados de 6 meses
A finales de septiembre, veremos las mismas repercusiones que decimos con los certificados de 199 días. Caducidades por doquier para quienes no estén automatizados.
En este día:
- Último día posible en que puede existir un certificado de 199 días
- Los certificados TLS de seis meses desaparecen por completo
A partir de ahora, todo será de tres meses o menos.
2029: Los certificados se convierten en un acontecimiento mensual
14 de marzo de 2029: Los últimos certificados de 99 días
El 14 de marzo es el último día de los certificados multimensuales. Es el último día en que una CA puede
- Emitir un certificado de 99 días
- Reutilizar DCV durante más de 8 días aproximadamente
Este es también el momento en el que la cadencia de DCV cambia de trimestral... a semanal.
15 de marzo de 2029: El mundo de 46 días
En este día
- La duración máxima de los certificados se reduce a 46 días
- La renovación mensual de certificados se convierte en la norma
- La reutilización de DCV es efectivamente semanal
Cualquier proceso manual que quede en esta fase será un punto de ruptura.
30 de abril de 2029: se dispara la carga de renovación
En este punto, los certificados ya no son una tarea de fondo, son un movimiento operativo constante.
En este día
- Empiezan a caducar los primeros certificados de 46 días
- La carga de trabajo de renovación alcanza aproximadamente niveles 12 veces superiores a los actuales.
2030 y más allá: Ciclos de vida cortos, presión cuántica y lo que vendrá después
En 2030, la industria operará por defecto con ciclos de vida de los certificados hipercortos. Con ello no sólo se fomenta la higiene de la seguridad, sino también la resistencia en un mundo que cambia con mayor rapidez que la criptografía.
La computación cuántica ocupa un lugar destacado en este contexto. Aunque los ataques cuánticos prácticos a gran escala contra la criptografía de clave pública pueden estar aún a años vista, la línea de tiempo de respuesta es importante. Las vidas más cortas de los certificados reducen drásticamente el radio de explosión de los avances criptográficos, las claves comprometidas o las transiciones de algoritmos de emergencia.
En un futuro post-cuántico:
- Puede ser necesario sustituir los certificados en masa con muy poca antelación.
- La criptoagilidad sólo puede lograrse mediante la automatización.
- La emisión semanal o incluso bajo demanda puede convertirse en algo normal.
El trabajo que se está imponiendo ahora a las organizaciones (automatización, visibilidad del inventario, eficiencia de DCV y orquestación de la renovación) está sentando las bases para ese futuro.
¿Qué tengo que hacer hoy?
La duración de los certificados está cambiando radicalmente el funcionamiento de los equipos. Lo que solía ser una tarea anual o trimestral se está convirtiendo en un sistema continuo que necesita escalar, recuperarse rápidamente y adaptarse con rapidez.
Las fechas mencionadas son tanto hitos en el sector como señales de advertencia de los cambios que se avecinan.
El camino a seguir es sencillo. Si aún no lo ha hecho
- Automatice la emisión y renovación de principio a fin.
- Elimine el DCV manual siempre que sea posible
- Tratar los certificados como infraestructura, no como papeleo
El tiempo corre, y a partir de ahora todo irá más rápido.