Safari ya no admitirá certificados SSL/TLS con validez de más de 14 meses

Safari ya no admitirá certificados SSL/TLS con validez de más de 14 meses

Lorena Fernández

En el marco del evento CA/Browser Forum, la compañía de la manzana mordida decidió de forma unilateral no admitir certificados de seguridad que duren más de 14 meses. Esto lo llevará a la práctica utilizando el navegador de Safari. Tarde o temprano se sabía que esto iba a pasar, es una decisión que tenía previsto darse por diferentes motivos. ¿Tendrá impacto directo en los usuarios del navegador? ¿Y si otras compañías toman esta misma decisión?

Todo certificado HTTPS, que cuenta con los estándares de cualquier certificado digital SSL/TLS que esté emitido después del 1 de septiembre no será aceptado por Apple Safari si tiene una duración de más de 14 meses, es decir, si cuenta con más de 398 días de validez. Ahora bien, ¿qué es lo que como usuario podremos notar ante algún sitio web con certificado rechazado? Simplemente, visualizará una advertencia de seguridad, indicando que ese sitio podría no ser seguro. Sin embargo, los desarrolladores deben tener presente que, si se han emitido certificados antes de septiembre, el tiempo de validez no afectará la aceptación por parte del navegador de Apple.

A pesar de que esto trae beneficios a corto y largo plazo, puede existir algún tipo de resistencia o readaptación de las formas de trabajar. Tanto de los desarrolladores de sitios web, como de las CAs (Autoridades Certificación). Otras compañías que cuenten con navegadores con gran impacto en el mercado, como Chrome o Firefox, se podrían ver arrastradas a seguir esta misma política.

Todas las páginas web que utilicen HTTPS deberán utilizar certificados SSL/TLS que tengan un corto tiempo de duración, para forzar a los administradores de las webs a volver a pedir un certificado SSL con más frecuencia, especialmente si queremos que los usuarios de Safari no les salga una advertencia de seguridad. Gracias a la decisión de Apple, los certificados digitales SSL/TLS emitidos por las CAs deben contar con 398 días de validez, el equivalente a algo más que 14 meses. ¿Qué ocurría cuando los certificados duraban mucho más tiempo (825 días)? Simplemente, se solicitaba un nuevo certificado digital con menos frecuencia, y, por tanto, esta tarea requería menos esfuerzo adicional.

Los desarrolladores y dueños de sitios web también deberán adaptarse. Habrá más carga de tareas en relación a la gestión de los certificados digitales SSL/TLS. A pesar de que las CAs externas cuentan con certificados que tienen herramientas de auto renovación muy desarrolladas, como Let’s Encrypt, Apple provocaría una mayor dependencia de éstas. En consecuencia, una gestión de certificados que dependa del equipo responsable de los sitios web ya no será posible, se tendrá que recurrir constantemente a las CAs proveedoras para una gestión eficaz, con el objetivo de evitar que un certificado nos caduque y no lo hayamos renovado.

Uno de los puntos negativos de esta decisión que menciona el portal NakedSecurity es el hecho de que, si los certificados de seguridad pasan por renovaciones más frecuentes, los clientes de certificados SSL/TLS con CA de pago, tendrán que pagar más asiduamente por su certificado, a no ser que pongan precios proporcionales a los actuales. Naturalmente, esto significará un mayor nivel de ingresos para los proveedores, aunque, por otro lado, será un cambio que tendrá complicaciones a la hora de llevarse a la práctica ya que hay un alto nivel de respeto e incluso miedo a los clientes.

Además del aspecto económico, está la parte técnica de la situación. En principio no debería presentarse ningún problema con cierto nivel de impacto, lo único que ahora al caducar en menos tiempo, merecerá la pena disponer o crear software que se encargue de gestionar y renovar los certificados automáticamente. Actualmente se desconoce qué es lo que harán Chrome o Firefox, los dos principales navegadores del mercado, lo que no queda duda es que esta decisión de Apple para Safari marcará la diferencia en el mundo de los sitios web, tarde o temprano.