R
robo
Épsilon
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
encontré esto espero le interese la idea
Let's Encrypt reducirá el periodo de validez de los certificados que emitimos. Actualmente, emitimos certificados válidos por 90 días, que se reducirán a la mitad, a 45 días, para 2028.
Este cambio se está implementando junto con el resto de la industria, según lo exigen los Requisitos Base del Foro de CA/Browser , que establecen los requisitos técnicos que debemos seguir. Todas las Autoridades de Certificación de confianza pública, como Let's Encrypt, implementarán cambios similares. Reducir la validez de los certificados ayuda a mejorar la seguridad de internet, al limitar el alcance de las vulnerabilidades y hacer más eficientes las tecnologías de revocación de certificados.
También estamos reduciendo el periodo de reutilización de la autorización, que es el tiempo tras la validación del control del dominio en el que permitimos la emisión de certificados para dicho dominio. Actualmente es de 30 días, y se reducirá a 7 horas para 2028.
Los cambios se implementarán en nuestro entorno de prueba aproximadamente un mes antes de las fechas de producción que se indican a continuación.
Para garantizar que su cliente ACME renueve a tiempo, le recomendamos usar la Información de Renovación de ACME (ARI) . ARI es una función que hemos implementado para ayudar a los clientes a saber cuándo deben renovar sus certificados. Consulte la documentación de su cliente ACME para saber cómo habilitar ARI, ya que varía según el cliente. Si es desarrollador de clientes, consulte esta guía de integración .
Si su cliente aún no es compatible con ARI, asegúrese de que se ejecute con una programación compatible con certificados de 45 días. Por ejemplo, renovar con un intervalo predefinido de 60 días ya no será suficiente. Un comportamiento aceptable incluye renovar los certificados aproximadamente dos tercios del tiempo de vida del certificado actual.
No se recomienda renovar los certificados manualmente, ya que será necesario hacerlo con mayor frecuencia y con duraciones de vida más cortas.
También le recomendamos asegurarse de que sus sistemas cuenten con la supervisión adecuada para alertar adecuadamente si los certificados no se renuevan en el plazo previsto. Existen numerosas opciones, algunas de las cuales se encuentran documentadas en nuestra página de Opciones del Servicio de Monitoreo .
Todos los métodos de validación actuales requieren que el cliente ACME tenga acceso en tiempo real a su infraestructura, ya sea para servir el token HTTP-01 correcto, realizar el protocolo de enlace TLS-ALPN-01 correcto o actualizar el registro TXT DNS-01 correcto. Durante mucho tiempo, se ha buscado una forma de ejecutar un cliente ACME sin otorgarle acceso a estos sistemas sensibles.
Estos desafíos son la razón por la que trabajamos con nuestros socios del CA/Browser Forum y el IETF para estandarizar un nuevo método de validación llamado DNS-PERSIST-01 . La principal ventaja de este nuevo método es que la entrada DNS TXT utilizada para demostrar el control no tiene que cambiar en cada renovación.
Esto significa que puede configurar la entrada DNS una vez y comenzar a renovar certificados automáticamente sin necesidad de actualizar el DNS automáticamente. Esto debería permitir que aún más usuarios automaticen la renovación de sus certificados. También reducirá la dependencia de la reutilización de autorizaciones, ya que los registros DNS pueden permanecer sin cambios sin necesidad de intervención adicional del cliente ACME.
Esperamos que DNS-PERSIST-01 esté disponible en 2026 y pronto anunciaremos más.
Reducción de la duración de los certificados a 45 días
Por Matthew McPherrin · 2 de diciembre de 2025Let's Encrypt reducirá el periodo de validez de los certificados que emitimos. Actualmente, emitimos certificados válidos por 90 días, que se reducirán a la mitad, a 45 días, para 2028.
Este cambio se está implementando junto con el resto de la industria, según lo exigen los Requisitos Base del Foro de CA/Browser , que establecen los requisitos técnicos que debemos seguir. Todas las Autoridades de Certificación de confianza pública, como Let's Encrypt, implementarán cambios similares. Reducir la validez de los certificados ayuda a mejorar la seguridad de internet, al limitar el alcance de las vulnerabilidades y hacer más eficientes las tecnologías de revocación de certificados.
También estamos reduciendo el periodo de reutilización de la autorización, que es el tiempo tras la validación del control del dominio en el que permitimos la emisión de certificados para dicho dominio. Actualmente es de 30 días, y se reducirá a 7 horas para 2028.
Cronología de los cambios
Para minimizar las interrupciones, Let's Encrypt implementará este cambio en varias etapas. Utilizaremos perfiles ACME para que usted controle cuándo se aplican estos cambios. Estos perfiles se configuran en su cliente ACME. Para más información, consulte nuestra publicación de blog donde los anunciamos .Los cambios se implementarán en nuestro entorno de prueba aproximadamente un mes antes de las fechas de producción que se indican a continuación.
- 13 de mayo de 2026: Let's Encrypt modificará nuestro perfil ACME de tlsserver para emitir certificados de 45 días. Este perfil es opcional y puede ser utilizado por usuarios pioneros y para pruebas.
- 10 de febrero de 2027: Let's Encrypt cambiará nuestro perfil ACME clásico predeterminado para emitir certificados de 64 días con un periodo de reutilización de la autorización de 10 días. Esto afectará a todos los usuarios que no hayan optado por los perfiles tlsserver o de corta duración (6 días).
- 16 de febrero de 2028: Actualizaremos aún más el perfil clásico para emitir certificados de 45 días con un período de reutilización de autorización de 7 horas.
Acción requerida
La mayoría de los usuarios de Let's Encrypt que emiten certificados automáticamente no tendrán que realizar ningún cambio. Sin embargo, debe verificar que su automatización sea compatible con certificados con periodos de validez más cortos.Para garantizar que su cliente ACME renueve a tiempo, le recomendamos usar la Información de Renovación de ACME (ARI) . ARI es una función que hemos implementado para ayudar a los clientes a saber cuándo deben renovar sus certificados. Consulte la documentación de su cliente ACME para saber cómo habilitar ARI, ya que varía según el cliente. Si es desarrollador de clientes, consulte esta guía de integración .
Si su cliente aún no es compatible con ARI, asegúrese de que se ejecute con una programación compatible con certificados de 45 días. Por ejemplo, renovar con un intervalo predefinido de 60 días ya no será suficiente. Un comportamiento aceptable incluye renovar los certificados aproximadamente dos tercios del tiempo de vida del certificado actual.
No se recomienda renovar los certificados manualmente, ya que será necesario hacerlo con mayor frecuencia y con duraciones de vida más cortas.
También le recomendamos asegurarse de que sus sistemas cuenten con la supervisión adecuada para alertar adecuadamente si los certificados no se renuevan en el plazo previsto. Existen numerosas opciones, algunas de las cuales se encuentran documentadas en nuestra página de Opciones del Servicio de Monitoreo .
Facilitar la automatización con un nuevo tipo de desafío DNS
Para muchos de nuestros usuarios, la parte más difícil de la emisión automática de certificados es demostrar el control del dominio. Reducir la duración de los certificados y el periodo de reutilización de la autorización hará que los usuarios tengan que demostrar el control con mayor frecuencia.Todos los métodos de validación actuales requieren que el cliente ACME tenga acceso en tiempo real a su infraestructura, ya sea para servir el token HTTP-01 correcto, realizar el protocolo de enlace TLS-ALPN-01 correcto o actualizar el registro TXT DNS-01 correcto. Durante mucho tiempo, se ha buscado una forma de ejecutar un cliente ACME sin otorgarle acceso a estos sistemas sensibles.
Estos desafíos son la razón por la que trabajamos con nuestros socios del CA/Browser Forum y el IETF para estandarizar un nuevo método de validación llamado DNS-PERSIST-01 . La principal ventaja de este nuevo método es que la entrada DNS TXT utilizada para demostrar el control no tiene que cambiar en cada renovación.
Esto significa que puede configurar la entrada DNS una vez y comenzar a renovar certificados automáticamente sin necesidad de actualizar el DNS automáticamente. Esto debería permitir que aún más usuarios automaticen la renovación de sus certificados. También reducirá la dependencia de la reutilización de autorizaciones, ya que los registros DNS pueden permanecer sin cambios sin necesidad de intervención adicional del cliente ACME.
Esperamos que DNS-PERSIST-01 esté disponible en 2026 y pronto anunciaremos más.

