Porqué caducan los certificados SSL, cual es la razón para que venzan o tengan fecha de vencimiento

Porqué caducan los certificados SSL, cual es la razón para que venzan o tengan fecha de vencimiento. La caducidad ayuda a que los certificados SSL se mantengan seguros, y no, no es una conspiración de CA (Certificate Authority).Una de las cosas más comunes que escuchamos de nuestros clientes más escépticos es, «¿por qué caducan los certificados SSL? ¿No es solo una estafa de Certificate Authority, así que tengo que comprar un nuevo certificado y pueden ganar más dinero?
Por supuesto, ese no es un comentario totalmente injustificado. Después de todo, instalar un certificado SSL año tras año puede ser frustrante. Y cuando mira todas esas facturas, puede inclinarse a pensar que estas compañías han creado una gran algarabía.
Pero, la realidad es que la expiración del certificado es increíblemente importante para las garantías de seguridad de SSL; de hecho, sin vencimiento, los certificados SSL serían inútiles.


El certificado SSL de nuestro sitio web muestra el rango de validez

Primero, comprendamos cómo expiran los certificados SSL: cada certificado SSL tiene un período de validez , un intervalo de fechas durante el cual el certificado es válido y se puede usar para establecer conexiones seguras. Después de que ese período de validez finalice, los certificados SSL caducarán. Los navegadores y otro software dejan de aceptar certificados caducados y muestran una advertencia cuando intenta usar uno . Es similar a cómo caduca una identificación del gobierno o una tarjeta de crédito.
La validez del certificado existe porque una de las características principales de SSL es la autenticación del servidor . Esto permite que el cliente (generalmente su navegador web) conozca la identidad del servidor al que se está conectando.
Sin la autenticación del servidor, no sabría si se está conectando al sitio web auténtico, o si alguien más está falsificando ese sitio. Créalo o no, es increíblemente fácil de hacer sin las protecciones de SSL.
Comprobar si un certificado ha expirado es parte de la autenticación del servidor, y no es solo para ver si alguna fecha arbitraria ha llegado y se ha ido.
Obtener un certificado SSL de una Autoridad certificadora (CA) de confianza pública como Symantec o Comodo (nuestro aliado en HostDime) requiere que demostremos la propiedad del dominio solicitado siguiendo los requisitos estándar de la industria.
Estos requisitos garantizan que no pueda obtener un certificado SSL para un sitio que no es de su propiedad (entre otras cosas). La CA firma digitalmente su certificado para decirle a otros dispositivos que la información contenida en él es precisa, y el período de validez les dice por cuánto tiempo se puede confiar en esa información.
Al igual que una identificación del gobierno o pasaporte, es importante que la información se vuelva a verificar ocasionalmente. ¡Imagínese si nunca tuvo que renovar su pasaporte o licencia de conducir! Muchas personas todavía llevarían identificaciones con una imagen de ellos desde que tenían dieciséis años y eran mucho más cortas. Usar esas identificaciones para una identificación precisa sería mucho más difícil y mucho menos confiable.
Por supuesto, en el mundo de la tecnología, las cosas se mueven mucho más rápido, por lo que la expiración del certificado SSL a menudo se realiza cada año en lugar de cada década. La identidad digital también es diferente de la identidad del mundo real. Los dominios cambian de manos todo el tiempo, por lo que no queremos que un propietario anterior tenga un certificado casi olvidado pero válido. Esa es una situación propicia para el mal uso.

Los certificados SSL no solo validan un nombre de dominio

Los certificados SSL más avanzados incluyen el nombre y la ubicación de la compañía que legalmente los posee. Esa información se puede utilizar para identificar con mayor precisión un sitio web, y es importante que se mantenga actualizada.
En el lado menos malicioso, cuanto más tiempo haya alrededor de un archivo, más probabilidades hay de que se duplique por todas partes y se guarde de forma insegura. Cuando hablamos de claves de encriptación, eso es indeseable.

¡Pero si acaba de vencer ayer!

Claro, un certificado que ha expirado hace un día puede parecer seguro de usar. Usted puede preguntar cuál podría ser el daño. Desafortunadamente, con los certificados SSL, no es tan fácil de descubrir. No es como si pudieras darle la prueba del olfato como lo harías con esa leche sospechosa en la nevera.
Un certificado que acaba de vencer aún puede ser seguro de usar. Pero no tiene forma de saber si esa clave privada todavía está siendo protegida adecuadamente, si el dominio ha cambiado de manos desde que se emitió el certificado, etc. Una vez que expira un certificado, la CA ya no necesita publicar el estado de revocación de ese certificado. por lo que ya no puede saber si ese certificado ha sido revocado o comprometido.
Simplemente es demasiado difícil establecer un período de gracia en el que todavía es seguro usar un certificado caducado, y hacerlo solo llevaría a que la palanca de medición se mueva más y más con el tiempo. En primer lugar, estaría bien si el certificado fuera un día después del vencimiento, luego lentamente permitiremos dos días, luego una semana, y así sucesivamente. Existe una razón por la cual los certificados tienen un período de validez firme, y todos debemos apegarnos a ella.
Animar a los usuarios a ignorar, o hacer «clic» en las advertencias de los certificados es una mala seguridad de la seguridad, y corre el riesgo de devaluar el significado de las advertencias. Esto, a su vez, pone a los usuarios en riesgo de ignorar una advertencia que es mucho más peligrosa.
Entonces, si bien puede ser difícil estar al tanto de todos sus certificados, haga un favor a sus usuarios (y a Internet) y configure un recordatorio (la mayoría de los proveedores de SSL le permiten configurar notificaciones por correo electrónico cuando se acerque la renovación) o póngalo en su calendario.

Los nuevos certificados son certificados ágiles

En el mundo de la tecnología, legacy es una palabra de cuatro letras. Estoy seguro de que todos conocemos alguna compañía o red que ejecute Windows XP u otra pieza de tecnología horriblemente desactualizada. Eso se debe a que es muy difícil obligar a las personas a actualizar, y el respaldo de esos viejos sistemas es difícil y, a menudo, crea vulnerabilidades de seguridad.
Un buen efecto secundario de la expiración del certificado es que ayuda a mantener modernas las prácticas de SSL.

Hubo un momento en que era posible obtener certificados durante cinco años o más. Hoy, el límite es de tres años, y la industria puede estar buscando reducirlo aún más.
Una validez de certificado más corta hace que sea mucho más fácil actualizar los estándares de seguridad. El año pasado, toda la Internet migró al nuevo algoritmo de firma SHA-2. Fue un poco accidentado debido a esos certificados muy viejos de más de 5 años.
Desde el punto de vista de la política, los largos períodos de validez son una pesadilla. Desde el día en que se promulgó una nueva política, tuvo que esperar hasta cinco años para que el certificado actual de todos expire y comience a seguir el nuevo estándar, y mientras tanto, necesitaba planes de contingencia sobre cómo manejar aquellos que no lo hicieron. En algunos casos, eso significaba obligar a los usuarios a actualizar a mitad del ciclo.
El CA / B Forum es una organización de la industria que establece las mejores prácticas y estándares para la emisión de certificados SSL. Ellos son los que garantizan que los nuevos certificados no continúen utilizando viejas medidas de seguridad. Uno de los objetivos que el Foro CA / B ha estado trabajando es la validez de los certificados más cortos. Cuando los certificados SSL caducan con más frecuencia, hace que sea más fácil mejorar las prácticas de seguridad.
Ahora, eso no quiere decir que la expiración SSL resuelva todos los problemas. Una gran cantidad de servidores tienen configuraciones de SSL que harían que la mayoría de los administradores del sistema se sonrojen. Pero, al menos, la caducidad mantiene actualizada una parte de nuestra industria.
Por lo tanto, la próxima vez que renueve su certificado SSL, recuerde que se está asegurando de que toda la información en su certificado es precisa, probando a los clientes que usted todavía es el propietario legítimo del dominio y manteniendo las medidas de seguridad de su certificado actualizadas.

Leer también:qué es el SSL

This post is also available in: Español