Let’s Encrypt, la autoridad certificadora gratuita que ha democratizado el uso de HTTPS en la web, ha anunciado un cambio profundo en la forma en la que emite certificados digitales: antes de 2028, todos sus certificados públicos pasarán a tener una validez máxima de 45 días, la mitad de los actuales 90 días. Este movimiento no es aislado, sino que forma parte de un cambio de reglas en toda la industria impulsado por el CA/Browser Forum, el organismo que marca las normas que deben cumplir las autoridades de certificación y los navegadores.
La razón de fondo es clara: mejorar la seguridad de Internet reduciendo el tiempo durante el cual un certificado comprometido puede seguir siendo válido y haciendo que los mecanismos de revocación sean más eficaces. Pero la transición implicará ajustes importantes para administradores de sistemas, proveedores de hosting y cualquier servicio que utilice certificados de Let’s Encrypt.
De casi 13 meses a apenas 45 días
Hasta ahora, el estándar de la industria permitía certificados TLS públicos de hasta 398 días de validez. Apple fue la primera en poner sobre la mesa la idea de reducir ese máximo a solo 45 días por motivos de seguridad, en una propuesta presentada al CA/Browser Forum. Tras las discusiones, el organismo acordó un límite ligeramente superior: 47 días como máximo para certificados públicos (excepto las raíces).
En paralelo, Let’s Encrypt —que ya era más estricta que el resto emitiendo certificados de solo 90 días— ha confirmado que seguirá ese camino y recortará progresivamente la duración de sus certificados hasta llegar a los 45 días.
No será de un día para otro. La organización ha definido un calendario por fases:
- 13 de mayo de 2026: el perfil ACME
tlsserveremitirá certificados de 45 días. Esta fase es opcional y pensada para pruebas y early adopters. - 10 de febrero de 2027: el perfil “clásico” por defecto pasará a certificados de 64 días, con un periodo de reutilización de autorización de 10 días.
- 16 de febrero de 2028: el perfil “clásico” adoptará finalmente certificados de 45 días, con una ventana de reutilización de validación de solo 7 horas.
A partir de esa fecha, cualquier certificado nuevo de Let’s Encrypt tendrá una vida muy corta: aproximadamente mes y medio.
Validación del dominio: de 30 días a solo 7 horas
El cambio no afecta solo a la duración del certificado, sino también al tiempo durante el cual se puede reutilizar la validación de dominio (la prueba de que quien pide el certificado controla realmente ese dominio).
Hoy, una vez que el dominio se valida, esa autorización puede reutilizarse durante 30 días para emitir nuevos certificados. En 2028, esa ventana se reducirá a 7 horas. Si en ese tiempo no se emite el certificado, será necesario volver a validar el dominio.
Esto obligará a que los procesos de emisión y renovación sean mucho más automáticos, fiables y frecuentes. Los esquemas manuales o semimanuales —todavía comunes en muchas pymes, proyectos personales o entornos on-premise— se volverán difíciles de sostener sin riesgo de cortes de servicio por expiración.
¿Supone esto un problema para los usuarios?
Para la mayoría de sitios web que ya usan automatización completa con ACME (por ejemplo, con Certbot, acme.sh u otros clientes integrados en paneles de hosting), Let’s Encrypt asegura que no será necesario hacer cambios profundos. Pero sí recomienda revisar que:
- El cliente ACME se ejecuta con la frecuencia suficiente.
- La lógica de renovación no está “fija” en 60 días o similar, porque dejaría de tener sentido con certificados de 45 días.
- Existen alertas o monitorización que avisen si una renovación falla.
La buena práctica que propone la organización es renovar alrededor de dos tercios del tiempo de vida del certificado. En el caso de 45 días, eso significa renovar en torno al día 30, no apurar al límite.
Let’s Encrypt también desaconseja de forma explícita las renovaciones manuales: cuanto más corta es la vida del certificado, más frecuentes son las renovaciones y mayor es la probabilidad de error humano.
ARI y nuevos métodos de validación: más automatización, menos dolores de cabeza
Para ayudar a que los clientes renueven en el momento adecuado, Let’s Encrypt impulsa el uso de ACME Renewal Information (ARI), una extensión del protocolo ACME que permite a la autoridad certificadora indicar a los clientes cuándo es el momento óptimo para renovar. Cada cliente ACME puede implementar ARI de forma distinta, por lo que recomiendan revisar la documentación de cada herramienta.
Además, la organización está trabajando junto con el CA/Browser Forum y el IETF en un nuevo método de validación DNS llamado DNS-PERSIST-01. La ventaja clave es que el registro TXT de DNS que demuestra el control del dominio no tendría que cambiar en cada renovación.
Eso permitiría:
- Configurar el DNS una sola vez.
- Automatizar las renovaciones sin necesidad de dar acceso al sistema de DNS a los clientes ACME.
- Reducir todavía más la dependencia de la “reutilización de autorización”, ya que el registro DNS persistente actúa como prueba continua de control.
Let’s Encrypt espera que DNS-PERSIST-01 esté disponible en algún momento de 2026, lo que podría aliviar gran parte de la carga operativa que traerán los certificados más cortos.
Por qué acortar la vida de los certificados mejora la seguridad
Detrás de este movimiento hay dos argumentos principales de seguridad:
- Límite al impacto de un compromiso:
Si una clave privada se filtra o se roba, el atacante solo puede abusar del certificado mientras siga siendo válido. Reducir la validez a 45 días limita mucho la ventana de ataque en comparación con certificados de un año o más. - Revocación más eficaz:
Los mecanismos tradicionales de revocación (CRL, OCSP, etc.) tienen limitaciones técnicas y, en la práctica, no siempre se consultan o respetan. Si los certificados expiran más rápido, el sistema depende menos de la revocación: muchos incidentes quedan “neutralizados” simplemente dejando que el certificado expire pronto.
En paralelo, el recorte fuerza a la industria a dar un paso más en la automatización. Los certificados de corta duración son invivibles si el proceso de emisión y despliegue no está completamente integrado en pipelines, herramientas de orquestación y paneles de gestión.
¿Qué debe hacer ahora una empresa o proyecto que usa Let’s Encrypt?
Aunque los cambios más drásticos no llegarán hasta 2027 y 2028, Let’s Encrypt anima a no esperar al último momento:
- Revisar el cliente ACME utilizado y comprobar si soporta ARI.
- Ajustar los cron o timers para que las renovaciones se hagan varias veces al mes, no cada 2 meses.
- Eliminar procesos manuales en los que alguien tiene que lanzar un comando o subir un certificado a mano.
- Configurar monitorización específica de fechas de expiración de certificados y alertas tempranas.
Quien llegue a 2028 con una buena estrategia de automatización apenas notará el cambio. Quien siga renovando “a mano” probablemente se enfrentará a caídas de servicio recurrentes.
Preguntas frecuentes sobre el cambio de Let’s Encrypt a certificados de 45 días
¿Por qué Let’s Encrypt reducirá sus certificados a 45 días de validez?
Porque es un requisito del CA/Browser Forum para todas las autoridades de certificación públicas. El objetivo es mejorar la seguridad en Internet, reduciendo el tiempo durante el cual un certificado comprometido puede ser utilizado y haciendo más eficaz la gestión de revocaciones y renovaciones.
¿Tengo que cambiar algo en mi web si ya uso Let’s Encrypt con renovación automática?
En la mayoría de casos no. Si tu servidor o proveedor de hosting ya renueva automáticamente cada pocos días o semanas, el cambio debería ser transparente. Aun así, conviene revisar la configuración del cliente ACME, activar ARI si está disponible y asegurarse de que las renovaciones no dependen de intervalos fijos demasiado largos.
¿Qué riesgos tengo si sigo renovando certificados de forma manual?
Con certificados de 45 días, tendrás que renovarlos con mucha más frecuencia. Cada retraso, olvido o error humano aumenta el riesgo de que caduquen y tu web aparezca como “no segura” o deje de ser accesible por HTTPS. La recomendación de Let’s Encrypt es clara: automatizar por completo la emisión y renovación.
¿Qué es ACME Renewal Information (ARI) y por qué es importante?
ARI es una extensión del protocolo ACME que permite a la autoridad certificadora indicar al cliente cuándo debe renovar un certificado. En lugar de renovar siempre en una fecha fija, el cliente puede seguir las recomendaciones del emisor, lo que ayuda a adaptarse mejor a cambios como la nueva validez de 45 días y a evitar renovaciones tardías que puedan causar cortes de servicio.
vía: letsencrypt.org
