Blog

39 meses la validez máxima de los certificados SSL

Los certificados ssl a partir de 1 de abril de 2015 tendrán una validez máxima 39 meses. Este año, aparte de algunos fallos informáticos importantes, hemos vivido la transición del algoritmo hash SHA-1 al SHA-2. Lo que sabemos con seguridad: a partir del 1 de abril del 2015, cualquier certificado emitido tendrá un periodo máximo de validez de 39 meses. Esta medida es parte de los requisitos 9.4 y 11.3 emitidos por el Certification Authority and Browser Forum (CA/B Forum), que establecen un periodo de validez más estricto para los certificados digitales, así como para la documentación utilizada para la verificación:

• Los certificados ssl emitidos a partir del 1 de abril de 2015 DEBEN tener un periodo de validez no superior a 39 meses.
• Las Autoridades de Certificación (CA en sus siglas inglesas) NO utilizarán para validar una solicitud de certificado aquella documentación o información que haya sido obtenida en un plazo superior a 39 meses antes de la fecha de emisión del certificado.

Todas las CA con las que estamos asociados (Symantec, Thawte, GeoTrust y comodo) son miembros del CA/B Forum, y por lo tanto respetan estos requisitos.

¿Qué va a cambiar?

Aunque los hecho están bastante claros, se va a dar un «periodo de transición» para los certificados ya existentes que tengan una validez máxima de 4-5 años. Si, con posterioridad al 1 de abril de 2015, vuelve usted a emitir un certificado que contenga un periodo de validez superior a 39 meses, este periodo de validez se verá reducido, porque los certificados solo pueden volverse a emitir para los primeros 39 meses de vida. Esto es consecuencia de los requisitos del CA/Broswer Forum: a partir del 1 de abril, la información para la autorización de cualquier certificado SSL solo seguirá siendo válida durante 39 meses a partir de la fecha de emisión, por lo que usted no podrá volver a emitir su certificado de validez de 4-5 años después de 39 meses (desde la fecha de emisión del mismo). Esto se aplica al caso de añadir o eliminar SAN («Nombre del sujeto alternativo» en sus siglas inglesas).

Es un poco confuso...

Lo que necesita recordar:

• Hasta el 31 de marzo de 2015, es aún es posible pedir un certificado de 4 o 5 años.
• Después de esta fecha el certificado sigue siendo válido. Sin embargo, si el certificado ha de volver a emitirse durante su periodo de validez, el nuevo periodo de validez puede cambiar y quedar reducido.
• Además, una vez que el periodo de validez de 39 meses haya expirado, ya no le será posible volver a emitir su certificado.
• Puede darse el caso de que se vea usted en la necesidad de tener que volver a emitirlo: la clave se ha perdido o se ha visto comprometida, una caída del servidor, tiene que añadir o eliminar algunos SAN, etc.
• Si acepta contratar un certificado de 4-5 años, debe entender que es posible que la validez de su certificado se vea acortada SI tiene que volver a emitirlo a partir del 1 de abril de 2015.

Pongamos un ejemplo

Usted solicita un certificado de 5 años el 1 de enero de 2015. 5 x 12 meses = 60 meses de validez. El 1 de abril de 2015: nada ha cambiado para usted. Han pasado tres meses desde que el certificado fue emitido, por lo que el certificado es aún valido durante 57 meses. El 30 de septiembre de 2015: su servidor ha tenido un problema y tiene que volver a emitir su certificado. Han pasado 9 meses desde que se emitió su certificado, por lo que el certificado debería volver a emitirse con una validez de 51 meses, PERO la Autoridad de Certificación volverá a emitir el certificado como si hubiera sido emitido inicialmente con 39 meses de validez. Por lo tanto el certificado que se ha vuelto a emitir tendrá 39 - 9 meses = 30 meses de validez. Usted pierde 21 meses. ¿Aún estás confuso? Consúltanos