🏆 Mundial 2026 EN VIVO · Próximo: España vs Argentina entra →

Let's Encrypt reduce la vida útil de los certificados a 45 días

  • Autor Autor robo
  • Fecha de inicio Fecha de inicio
R

robo

Épsilon
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
encontré esto espero le interese la idea

Reducción de la duración de los certificados a 45 días​

Por Matthew McPherrin · 2 de diciembre de 2025
Let's Encrypt reducirá el periodo de validez de los certificados que emitimos. Actualmente, emitimos certificados válidos por 90 días, que se reducirán a la mitad, a 45 días, para 2028.

Este cambio se está implementando junto con el resto de la industria, según lo exigen los Requisitos Base del Foro de CA/Browser , que establecen los requisitos técnicos que debemos seguir. Todas las Autoridades de Certificación de confianza pública, como Let's Encrypt, implementarán cambios similares. Reducir la validez de los certificados ayuda a mejorar la seguridad de internet, al limitar el alcance de las vulnerabilidades y hacer más eficientes las tecnologías de revocación de certificados.

También estamos reduciendo el periodo de reutilización de la autorización, que es el tiempo tras la validación del control del dominio en el que permitimos la emisión de certificados para dicho dominio. Actualmente es de 30 días, y se reducirá a 7 horas para 2028.

Cronología de los cambios​

Para minimizar las interrupciones, Let's Encrypt implementará este cambio en varias etapas. Utilizaremos perfiles ACME para que usted controle cuándo se aplican estos cambios. Estos perfiles se configuran en su cliente ACME. Para más información, consulte nuestra publicación de blog donde los anunciamos .

Los cambios se implementarán en nuestro entorno de prueba aproximadamente un mes antes de las fechas de producción que se indican a continuación.

  • 13 de mayo de 2026: Let's Encrypt modificará nuestro perfil ACME de tlsserver para emitir certificados de 45 días. Este perfil es opcional y puede ser utilizado por usuarios pioneros y para pruebas.
  • 10 de febrero de 2027: Let's Encrypt cambiará nuestro perfil ACME clásico predeterminado para emitir certificados de 64 días con un periodo de reutilización de la autorización de 10 días. Esto afectará a todos los usuarios que no hayan optado por los perfiles tlsserver o de corta duración (6 días).
  • 16 de febrero de 2028: Actualizaremos aún más el perfil clásico para emitir certificados de 45 días con un período de reutilización de autorización de 7 horas.
Estas fechas son cuando el cambio entra en vigor para los nuevos certificados, por lo que los usuarios de Let's Encrypt verán el período de validez del certificado reducido en su próxima renovación después de estas fechas.

Acción requerida​

La mayoría de los usuarios de Let's Encrypt que emiten certificados automáticamente no tendrán que realizar ningún cambio. Sin embargo, debe verificar que su automatización sea compatible con certificados con periodos de validez más cortos.

Para garantizar que su cliente ACME renueve a tiempo, le recomendamos usar la Información de Renovación de ACME (ARI) . ARI es una función que hemos implementado para ayudar a los clientes a saber cuándo deben renovar sus certificados. Consulte la documentación de su cliente ACME para saber cómo habilitar ARI, ya que varía según el cliente. Si es desarrollador de clientes, consulte esta guía de integración .

Si su cliente aún no es compatible con ARI, asegúrese de que se ejecute con una programación compatible con certificados de 45 días. Por ejemplo, renovar con un intervalo predefinido de 60 días ya no será suficiente. Un comportamiento aceptable incluye renovar los certificados aproximadamente dos tercios del tiempo de vida del certificado actual.

No se recomienda renovar los certificados manualmente, ya que será necesario hacerlo con mayor frecuencia y con duraciones de vida más cortas.

También le recomendamos asegurarse de que sus sistemas cuenten con la supervisión adecuada para alertar adecuadamente si los certificados no se renuevan en el plazo previsto. Existen numerosas opciones, algunas de las cuales se encuentran documentadas en nuestra página de Opciones del Servicio de Monitoreo .

Facilitar la automatización con un nuevo tipo de desafío DNS​

Para muchos de nuestros usuarios, la parte más difícil de la emisión automática de certificados es demostrar el control del dominio. Reducir la duración de los certificados y el periodo de reutilización de la autorización hará que los usuarios tengan que demostrar el control con mayor frecuencia.

Todos los métodos de validación actuales requieren que el cliente ACME tenga acceso en tiempo real a su infraestructura, ya sea para servir el token HTTP-01 correcto, realizar el protocolo de enlace TLS-ALPN-01 correcto o actualizar el registro TXT DNS-01 correcto. Durante mucho tiempo, se ha buscado una forma de ejecutar un cliente ACME sin otorgarle acceso a estos sistemas sensibles.

Estos desafíos son la razón por la que trabajamos con nuestros socios del CA/Browser Forum y el IETF para estandarizar un nuevo método de validación llamado DNS-PERSIST-01 . La principal ventaja de este nuevo método es que la entrada DNS TXT utilizada para demostrar el control no tiene que cambiar en cada renovación.

Esto significa que puede configurar la entrada DNS una vez y comenzar a renovar certificados automáticamente sin necesidad de actualizar el DNS automáticamente. Esto debería permitir que aún más usuarios automaticen la renovación de sus certificados. También reducirá la dependencia de la reutilización de autorizaciones, ya que los registros DNS pueden permanecer sin cambios sin necesidad de intervención adicional del cliente ACME.

Esperamos que DNS-PERSIST-01 esté disponible en 2026 y pronto anunciaremos más.

Manténgase actualizado​

Compartiremos actualizaciones, recordatorios y otros cambios en nuestra lista de correo de actualizaciones técnicas . Suscríbete para estar al tanto de estos y otros cambios. Si tienes alguna pregunta, pregúntala en nuestro foro comunitario . Si quieres saber más sobre el trabajo que realizamos en Let's Encrypt y nuestros otros proyectos, consulta nuestro Informe Anual , publicado hoy.
 
Gracias por compartir esta información. La reducción de la validez de los certificados a 45 días y la implementación del método DNS-PERSIST-01 son cambios interesantes que pueden mejorar la seguridad y facilitar la automatización. Es crucial que los usuarios se preparen para estas modificaciones en sus sistemas de renovación.
 
vaya gracias, por la info, creo que tener por ahi un sitio q usaba Let's Encrypt, y lo tenia con renovacion de cron cada 2 meses. aunque ya deje de utilizaros en mis demas proyectos, lo unico malo es meter todos los huevos en cloudflare
 
Sí — efectivamente Let's Encrypt (LE) ha anunciado que reducirá la vida útil de sus certificados TLS/SSL a 45 días a futuro. Hasta ahora los certificados de Let’s Encrypt tenían una validez de 90 días. Pero según un anuncio reciente, planean recortar ese periodo a 45 días. El cambio responde a nuevas exigencias del sector (el CA/Browser Forum), que impulsa periodos de validez más cortos para mejorar la seguridad: así, si una clave privada se compromete, la ventana de exposición es menor.
 
AL que no le guste la medida simplemente que compre un certificado, que están realmente bastante económicos como para responsabilizar a letsencrypt en el caso de que sean menos de 10 dominios en lo adelante por temas de costo/precio y beneficio.
 
Atrás
Arriba