Google quiere rebajar la vigencia de los certificados SSL hasta los 13 meses

Google quiere que se rebaje la vigencia de los certificados SSL, empleados para asegurar el tráfico cifrado HTTPS en Internet, a la mitad. Actualmente, estos certificados duran más de dos años (825 días, alrededor de 27 meses), pero los de Mountain View quieren que se rebaje hasta que duren poco más de un año: 397 días, esto es, 13 meses. Esto, según The Register, se produce poco más de un año después de que, en marzo de 2018, la duración de estos certificados ya bajase de los 39 meses a los 27 actuales.

La propuesta la hizo el representante de Google Ryan Sleevi en el encuentro F2F, celebrado el pasado mes de junio en Tesalónica (Grecia), en el marco del Foro CA/B. Este foro es un grupo sectorial no oficial del que forman parte diversas autoridades certificadoras en SSL, así como diversos desarrolladores de navegadores.

Según esta propuesta, que todavía no se ha votado y que de aprobarse entraría en vigor en marzo de 2020, la vigencia de todos los certificados SSL nuevos expedidos sería de 397 días en lugar de los 825 días actuales. En la actualidad, cuenta con el respaldo de la mayoría de los desarrolladores de navegadores, pero también con una fuerte oposición. Concretamente, la de las autoridades certificadoras, disgustadas con los sucesivos recortes de la vigencia de estos certificados, que en pocos años ha pasado de ocho años a cinco, para luego reducirse a tres y dos años.

Las certificadoras se sienten presionadas por los fabricantes de software, que quieren que estas acepten su plan original de rebajarlos a un año, a pesar de que en 2018 se votó por una vigencia de dos años para los certificados. Timothy Hollebeek, representante de una de ellas, DigiCert, en el Foro CA/B, ha expresado su oposición al respecto, alegando que no está claro que los expuestos beneficios en cuanto a seguridad para justificar los costes que acarrearía esta rebaja de la vigencia de los certificados existan.

Hollebeek también subraya que «este cambio no tiene ningún efecto sobre las webs maliciosas, que funcionan durante un periodo de tiempo corto, que va de algunos días a una o dos semanas como mucho. Después de ello, el dominio queda añadido a varias listas negras, y el atacante se pasa a un nuevo dominio y compra nuevos certificados«.

Este directivo apunta que este cambio a un certificado SSL con menos vigencia se generarían más costes para sus clientes, esto es, para los compradores de los certificados, que además ahora tienen que dedicar más recursos humanos a mantener los certificados SSL al día, así como a realizar actualizaciones de mantenimiento cuando expira un certificado.

Aparte de esto, Hollebeek señala que alegar que «los certificados con un tiempo de vigencia más cortos permiten transiciones más rápidas cuando cambian las normas a cumplir» no es una razón suficiente para el cambio, porque en primer lugar, los estándares no deberían cambiar tan rápido.

Además, expone que en DigiCert creen «que el objetivo de mejorar la seguridad de los certificados se logra mejor permitiendo que las empresas tengan más tiempo para seguir mejorando en su iso de la automatización, para probar sus sistemas y para prepararse para los cambios. El principal punto es que cualquier ventaja de la rebaja de la vigencia de los certificados es teórica, mientras que los riesgos y los costes de hacer los cambios, especialmente en un corto periodo de tiempo, son reales«.