PRUEBA GRATUITA

Expiración del Certificado de 45 Días de Let’s Encrypt: Monitoreo y Más

Prueba gratuita
Nuestra solución de monitorización

La duración de los certificados TLS está disminuyendo rápidamente, y eso cambia la forma en que cada organización maneja las renovaciones, la validación y la prevención de interrupciones. Let’s Encrypt ha confirmado que pasará de certificados de 90 días a certificados de 45 días (con implementaciones por etapas) y acortará drásticamente las ventanas de reutilización de autorización. Al mismo tiempo, el Boletín SC-081v3 del CA/Browser Forum ha adoptado un cronograma más amplio de la industria que, en última instancia, limita los certificados TLS públicos a 47 días para el 15 de marzo de 2029.

Para los equipos que gestionan docenas —o miles— de certificados, la verdadera historia no es “certificados más cortos”. Es mayor velocidad de renovación, reutilización de validación más estricta y un margen mucho más pequeño para errores operativos. La monitorización y alerta del sitio web se convierten en algo innegociable.

¿Qué está cambiando en las duraciones de los certificados SSL/TLS?

La Política de 45 Días (Let’s Encrypt)

Let’s Encrypt actualmente emite certificados válidos por 90 días, y reducirá eso a 45 días para 2028. Esto no es un repentino “cambio de interruptor.” Let’s Encrypt lo está implementando en etapas utilizando Perfiles ACME:

Fecha
Cambio
Reutilización de Autorización
Perfil Afectado
13 de mayo de 2026 Fase 1
Problemas de perfil tlsserver de 45 días opt-in
30 días (sin cambios)
Adoptantes tempranos / pruebas
10 de febrero de 2027 Fase 2
El perfil clásico predeterminado cambia a certificados de 64 días
Reducido a 10 días
Todos los usuarios que no están en tlsserver o shortlived
16 de febrero de 2028 Fase 3
El perfil clásico predeterminado se mueve a certificados de 45 días
Reducido a 7 horas
Todos los usuarios en el perfil predeterminado

Conclusión clave

El período de reutilización de autorización es tan importante como la duración del certificado en sí. Es la ventana de tiempo durante la cual la validación previa del control de dominio puede ser reutilizada para emitir certificados adicionales. Let’s Encrypt reducirá eso de 30 días a solo 7 horas para 2028, haciendo que la automatización ACME confiable sea obligatoria, no opcional.

La línea base de la industria: 47 días (Foro CA/Navegador)

La votación SC-081v3 del Foro CA/Navegador introdujo un calendario por fases que reduce la validez máxima de los certificados TLS públicos a 200 días (2026), 100 días (2027), y 47 días (2029).

Los “45 días” de Let’s Encrypt son completamente compatibles con el máximo de “47 días” de la industria; Let’s Encrypt simplemente planea alcanzar ese estado final un año antes de lo que requiere el mandato del Foro CA/B.

¿Por qué se están reduciendo las duraciones de los certificados?

Las duraciones más cortas son una medida de seguridad y resiliencia, impulsadas por cuatro objetivos interconectados:

  • Reducción del radio de explosión por compromiso: Si se roba una clave privada o se emite incorrectamente un certificado, la validez más corta limita cuánto tiempo se puede abusar de ese certificado.
  • Ecosistema de revocación más efectivo: Los certificados de corta duración reducen la dependencia de que la revocación sea perfecta, y Let’s Encrypt señala que las duraciones más cortas hacen que las tecnologías de revocación sean más eficientes.
  • Menos datos de validación obsoletos: Los cambios de CA/B también reducen cuánto tiempo se puede reutilizar la validación de dominio e IP, hasta 10 días para marzo de 2029.
  • Impulso hacia la automatización y agilidad: Los programas de navegadores y raíces están alentando explícitamente la automatización porque permite ciclos de vida más cortos con menos interrupciones y mejoras de seguridad más rápidas.

Cronología de las reducciones de la duración del certificado

Aquí está la historia práctica detrás de la progresión de 825 días a 45 días:

Validez máxima
Era
Conductor clave
825 días
Máximo legado anterior a 2020
Sin límite de industria impuesto
398 días
Desde septiembre de 2020
Apple impuso un máximo de 398 días para los certificados emitidos después del 1 de septiembre de 2020; los certificados no conformes causan fallos de conexión
90 días
Norma de Let’s Encrypt (2014–2027)
Let’s Encrypt creó la expectativa “nativa de automatización”; el equipo de seguridad de Chrome enfatizó la automatización para la agilidad y la resiliencia
45 / 47 días
objetivo 2028–2029
Let’s Encrypt alcanza 45 días (16 de febrero de 2028); el CA/B Forum limita la industria a 47 días (15 de marzo de 2029)

Impacto en toda la industria del cambio de certificado de 45 días

Este no es un cambio exclusivo de Let’s Encrypt. Let’s Encrypt declara explícitamente que se está moviendo “junto con el resto de la industria” bajo los Requisitos Básicos del CA/Browser Forum, y que todas las CAs de confianza pública harán cambios similares.

Cómo afecta esto a Let’s Encrypt y otras CAs

  • La velocidad de renovación se convierte en el modo de operación predeterminado: Para 2029, las organizaciones efectivamente vivirán en un ciclo de renovación continuo, especialmente a gran escala.
  • La reutilización de validación disminuye drásticamente: Se espera que la reutilización de validación de dominio e IP baje a 10 días para marzo de 2029, lo que hace que los procesos manuales u ocasionales sean frágiles.
  • La inteligencia de ACME y renovación importa más: Let’s Encrypt recomienda usar Información de Renovación ACME (ARI) para que los clientes sepan cuándo renovar, y advierte que los intervalos de renovación codificados como “cada 60 días” fallarán en un mundo de 45 días.
  • Se están emergiendo nuevos enfoques de validación: Let’s Encrypt está trabajando en DNS-PERSIST-01 para reducir la carga operativa de la validación frecuente de dominios al permitir un registro DNS TXT persistente, que se espera para 2026.

Desafíos operativos de los certificados de 45 días

Los certificados de 45 días no solo significan “renovar el doble de veces”. Cambian fundamentalmente los modos de falla:

  • Menor margen para errores: Una ventana de renovación perdida puede convertirse rápidamente en tiempo de inactividad visible para el usuario.
  • Más partes móviles: Los equilibradores de carga, CDNs, ingreso de Kubernetes, mallas de servicio, puertas de enlace API y dispositivos heredados pueden necesitar actualizaciones coordinadas.
  • Fricción de validación: Con la reutilización de autorización cayendo a tan solo 7 horas para el perfil clásico de Let’s Encrypt para 2028, la automatización de desafíos DNS/HTTP debe ser confiable, no “mejor esfuerzo”.
  • Puntos ciegos en el inventario: La mayoría de las interrupciones ocurren en certificados “olvidados”: puntos finales no productivos promovidos a producción, subdominios antiguos, dominios gestionados por socios o certificados incrustados en dispositivos y middleware.
  • Sobrecarga de gestión de cambios: La rotación más frecuente de certificados aumenta la posibilidad de configuraciones incorrectas: cadena incorrecta, cadena incompleta, desajuste de nombre de host o implementación solo en algunos nodos.

Debido a que muchos de estos modos de falla ocurren después de que se emite el certificado — durante la propagación, recargas, almacenamiento en caché en el borde o implementaciones parciales — los equipos se benefician al agregar validación externa: verificaciones que confirman lo que los clientes reales reciben en producción, no solo lo que dicen los registros internos que ocurrió.

Por qué el monitoreo de expiración de certificados es crítico

Let’s Encrypt recomienda tener un monitoreo suficiente para alertar si los certificados no se renuevan cuando se espera, utilizando una herramienta de monitoreo SSL. En la práctica, el monitoreo es lo que detecta:

  • Automatización de renovación que falló silenciosamente;
  • Certificados que expiran “fuera de ciclo” debido a reemisiones;
  • Cambios en la cadena o emisor;
  • Desajustes de nombre de host e implementaciones incompletas.

Sin un monitoreo adecuado, los certificados SSL pueden hacer que los navegadores muestren advertencias de “Tu conexión no es privada”, perjudicar las clasificaciones de SEO de la noche a la mañana y bloquear a los visitantes de acceder a tu sitio por completo. Las consecuencias son inmediatas y medibles, y con certificados de 45 días renovándose aproximadamente cada 30 días, la ventana para detectar una falla silenciosa antes de que se convierta en una interrupción visible para el usuario es significativamente más estrecha.

🔍  Cómo Dotcom-Monitor mantiene tus certificados válidos

El Monitoreo de Certificados SSL de Dotcom-Monitor actúa como un verificador de certificados inteligente y siempre activo que realiza verificaciones regulares desde más de 30 ubicaciones globales. Una vez que agregas un dominio, la plataforma comienza a validar el certificado de la misma manera que los usuarios reales de todo el mundo lo experimentan, realizando un apretón de manos TLS completo, no solo un ping.

Para cada dominio o punto final monitoreado, la plataforma verifica automáticamente:

  • Integridad de la cadena de certificados y corrección del emisor;
  • Fechas de expiración y cuenta regresiva de días restantes;
  • Alineación de SAN y nombre de host;
  • Cualquier posible desajuste, respuestas no válidas o emisores no confiables;
  • Salud de la configuración en todos los dispositivos monitoreados.

Todos los resultados se presentan en un tablero centralizado en tiempo real con clasificación y filtrado inteligentes, para que los equipos puedan detectar problemas antes de que escalen, ya sea gestionando un puñado de dominios o cientos.

Riesgos de automatización en un mundo de 45 días

Los ciclos de vida de certificados más cortos aumentan la frecuencia de los eventos de renovación, y con eso, la probabilidad de fallos en la automatización. En un ciclo de 45 días, incluso pequeñas debilidades operativas emergen más rápido y con más frecuencia.

Por qué la automatización por sí sola fallará más a menudo en un mundo de 45 días

Los puntos de falla más comunes incluyen:

  • Registros DNS-01 propagándose más lentamente de lo esperado;
  • Desafíos HTTP-01 interceptados por capas de CDN o WAF;
  • Políticas de firewall mal configuradas que bloquean la validación;
  • Limites de tasa de ACME activados durante reintentos;
  • Contenedores que eliminan directorios de certificados durante reinicios;
  • Temporizadores de Systemd que fallan silenciosamente;
  • Equilibradores de carga que nunca recargan el certificado actualizado.

Importante:

Estos problemas no se convirtieron en nuevos problemas, se convirtieron en problemas urgentes. Cuando las renovaciones se realizan el doble de veces, la probabilidad de encontrar una de estas condiciones aumenta proporcionalmente. La automatización sigue siendo esencial, pero sin detección externa opera a ciegas en el lado de implementación del ciclo de vida.

🔍  Cómo Dotcom-Monitor detecta fallos de renovación

Cuando la automatización de ACME falla silenciosamente — un temporizador de systemd que no se activó, un desafío DNS que se agotó, un equilibrador de carga que nunca se recargó — Dotcom-Monitor lo detecta a través de validación continua de fuera hacia adentro. La plataforma envía notificaciones instantáneas en el momento en que detecta un certificado que se acerca a su fecha de caducidad o que ya ha entrado en un estado inválido, independientemente de lo que informen tus registros de automatización internos.

Las alertas se entregan a través de los canales que tu equipo ya utiliza:

  • Correo electrónico
  • SMS
  • Slack
  • Microsoft Teams
  • PagerDuty
  • Webhooks

Los umbrales de alerta personalizables significan que recibes advertencias en el momento exacto — no demasiado pronto para causar fatiga de alertas, y no demasiado tarde para prevenir una interrupción. Cada alerta identifica claramente el certificado, el dominio y la acción recomendada.

El Riesgo Oculto: Desviación de Despliegue Después de la Renovación

El éxito de la renovación no es el éxito del despliegue. En entornos distribuidos, esos dos estados a menudo divergen. Esta divergencia se llama desviación de despliegue — y es uno de los modos de fallo de TLS más subestimados. Las causas comunes incluyen:

  • CDNs que continúan sirviendo cadenas de certificados en caché después de actualizaciones de origen;
  • Equilibradores de carga de múltiples regiones que se actualizan en una región pero no en otra;
  • Pods de Kubernetes que no logran recargar secretos TLS actualizados;
  • Proxies inversos que requieren reinicios completos para recoger nuevos pares de claves;
  • Nodos de borde que se quedan atrás durante actualizaciones de infraestructura en curso.

Conclusión Clave

Bajo un ciclo de 90 días, la desviación era un incidente ocasional. Bajo un ciclo de 45 días, la desviación se vuelve estadísticamente más probable a menos que se monitoree explícitamente. Los ciclos de vida más cortos no solo aumentan la frecuencia de renovación — también aumentan el riesgo de propagación a través de sistemas distribuidos.

Por Qué la Monitorización Externa de Certificados Es la Verificación Independiente Más Confiable

Los sistemas internos observan el pipeline de renovación. Los sistemas externos observan la experiencia del usuario. Estas perspectivas divergen en muchos casos. La monitorización interna puede confirmar que el cliente ACME se ejecutó, que el certificado fue emitido y que el archivo fue escrito en el disco — pero a menudo no puede confirmar que el certificado correcto se esté sirviendo en el borde, que cada región esté actualizada, o que la cadena de confianza esté completa.

La monitorización externa valida certificados de la manera en que lo hacen los clientes:

  • Realiza un apretón de manos TLS completo;
  • Inspecciona la integridad de la cadena;
  • Verifica la alineación de SAN y nombre de host;
  • Detecta cambios inesperados en el emisor/cadena;
  • Confirma fechas de caducidad en producción

Conclusión Clave

Lo más importante es que la monitorización externa puede ejecutarse desde ubicaciones geográficas distribuidas, lo que ayuda a detectar desviaciones a nivel regional e inconsistencias en el borde de la CDN que un único punto de vista interno pasará por alto. Las verificaciones de fuera hacia adentro son la forma más confiable de validar que el éxito de la renovación se tradujo en una entrega correcta en producción.

🔍  Por Qué Dotcom-Monitor Es la Verificación Independiente Que Necesita Tu Stack de Automatización

Dotcom-Monitor verifica tus certificados en servidores de todo el mundo, proporcionando resultados precisos para el tráfico internacional y asegurando una monitorización continua de SSL independientemente de dónde estén alojados tus certificados. Este alcance global es particularmente importante para sitios web con infraestructura distribuida — bordes de CDN, equilibradores de carga de múltiples regiones y clústeres de Kubernetes — donde un certificado puede renovarse correctamente en el origen pero aún no haberse propagado a cada nodo de borde.

La plataforma admite la monitorización a través de redes de borde, equilibradores de carga y CDNs — las capas exactas donde la desviación de despliegue ocurre con mayor frecuencia. También admite informes globales programados (diarios, semanales o mensuales) que compilan cronologías, actualizaciones de estado y salud de certificados a través de todos los dispositivos monitoreados, reduciendo el trabajo manual y apoyando la visibilidad entre equipos.

Para organizaciones enfocadas en el cumplimiento, Dotcom-Monitor genera informes de auditoría exportables que incluyen detalles del certificado, información del emisor, registros de cadena de confianza y registros de errores — todo lo que los auditores suelen requerir, en un solo lugar.

Construyendo una Estrategia de Monitorización para Certificados de Corto Plazo

Un ciclo de vida de certificado de 45 días requiere más que una alerta básica de caducidad. La monitorización debe evolucionar de “recuérdame antes de que caduque” a “verificar continuamente el despliegue correcto.”

Comienza Con un Inventario Completo

La mayoría de las interrupciones se originan en puntos ciegos. Asegúrate de que la monitorización incluya todos los sitios web públicos y subdominios, API y puntos finales orientados a socios, bordes de CDN y servidores de origen, puertas de enlace internas expuestas externamente, e infraestructura y dispositivos heredados. Los puntos finales no monitoreados son un riesgo no gestionado.

1

Monitoreo desde Múltiples Ubicaciones Globales

Una sola sonda no puede detectar el desplazamiento regional, inconsistencias en el borde de la CDN o problemas de cadena de confianza específicos de ISP. La validación global asegura la corrección de la cadena en todas partes, consistencia de región a región y éxito en la propagación en el borde. Dotcom-Monitor verifica desde más de 30 ubicaciones globales, haciendo que estas verificaciones de múltiples ubicaciones sean repetibles y consistentes en un horario, sin ningún esfuerzo manual después de la configuración inicial.

2

Valida Más Que la Expiración

La expiración es solo un modo de fallo. La monitorización también debe verificar:

  • Cadena de confianza completa y CA intermedia correcta;
  • Precisión de SAN/nombre de host;
  • Compatibilidad de cifrado y protocolo;
  • Cambios inesperados en el emisor.
3

Activar Validación Post-Renovación

Los eventos de renovación deben iniciar automáticamente la validación de producción inmediata, comparación de certificados en múltiples regiones y verificaciones de la cadena. El desplazamiento aparece con mayor frecuencia inmediatamente después de la renovación, no antes de la expiración.

4

Utiliza alertas por niveles para un ciclo de vida de 45 días

Con ciclos de vida comprimidos, el momento de las alertas importa más. Dotcom-Monitor permite umbrales de alerta totalmente personalizables, para que puedas configurar un modelo de escalación estructurado adaptado a un ciclo de vida de certificado de 45 días:
20
DÍAS RESTANTES
Informativo
10
DÍAS RESTANTES
Advertencia
5
DÍAS RESTANTES
Crítico
0
FALLO EN EL HANDSHAKE
Inmediato
5

Reflexiones Finales: Monitoreo y Detección en la Era de 45 Días

Los certificados de corta duración mejoran la postura de seguridad. También comprimen la tolerancia operativa y reducen la ventana para detectar errores de configuración o implementación. La automatización sigue siendo obligatoria, pero la automatización sin verificación se vuelve frágil a gran escala.

El verdadero cambio operativo en la era de 45 días es este:

  • La renovación es continua;
  • Las ventanas de reutilización de validación están disminuyendo;
  • El desvío de implementación se vuelve estadísticamente más frecuente;
  • La verificación externa se vuelve obligatoria

El Monitoreo de Certificados SSL de Dotcom-Monitor está diseñado específicamente para este entorno. Proporciona validación externa de la corrección de la cadena, alineación de nombres de host, estado de expiración y consistencia de implementación global, desde más de 30 ubicaciones en todo el mundo, con alertas en tiempo real entregadas a Slack, Teams, correo electrónico, SMS y PagerDuty. Ya sea que administres un solo dominio o cientos, la plataforma mantiene cada certificado organizado, rastreado y verificado automáticamente.

🔍  Qué Hace que Dotcom-Monitor Sea la Opción Correcta para la Era de 45 Días

A medida que las vidas útiles de TLS se acortan en toda la industria, la detección y verificación se convierten en controles fundamentales en lugar de salvaguardias opcionales. Aquí está lo que Dotcom-Monitor ofrece que la automatización interna por sí sola no puede:

Capacidad
Qué Resuelve
30+ ubicaciones de monitoreo global
Detecta desvíos regionales e inconsistencias en el CDN
Validación completa del apretón de manos TLS
Confirma lo que los usuarios reales reciben, no solo lo que informan los registros internos
Verificación de cadena y emisor
Detecta cadenas incompletas, intermediarios incorrectos y cambios inesperados de emisor
Umbrales de alerta de expiración personalizables
Advertencias escalonadas a 20, 10, 5 días — calibradas para ciclos de vida de 45 días
Alertas de Slack, Teams, PagerDuty, SMS
Llega a la persona adecuada a través del canal adecuado, instantáneamente
Informes programados automatizados
Exportaciones listas para auditoría con detalles de emisor, cadena, algoritmo y errores
Soporte para Edge, CDN y balanceador de carga
Monitorea las capas exactas donde ocurre más a menudo la desviación de implementación
Panel centralizado de múltiples dominios
Una única vista para equipos que gestionan docenas o cientos de certificados
Iniciar una prueba gratuita — No se requiere tarjeta de crédito

FAQ: Expiración del Certificado de 45 Días de Let's Encrypt

¿Cuándo comenzará Let's Encrypt a emitir certificados de 45 días?
Let's Encrypt introduce certificados de 45 días en etapas: un perfil ACME tlsserver opcional comienza el 13 de mayo de 2026, y el perfil clásico predeterminado alcanza los 45 días el 16 de febrero de 2028. Los cambios se desplegarán en el entorno de pruebas aproximadamente un mes antes de cada fecha de producción.
¿El nuevo estándar es de 45 días o 47 días?
La votación SC-081v3 del CA/Browser Forum limita los certificados TLS públicos a 47 días a partir del 15 de marzo de 2029. Let's Encrypt planea emitir certificados de 45 días antes (para febrero de 2028), lo que se ajusta a ese máximo de la industria. Ambas cifras describen el mismo estado final: Let's Encrypt simplemente lo alcanza un año antes de la fecha límite del CA/B Forum.
¿Con qué frecuencia necesitarán renovarse los certificados con una validez de 45 días?
La mayoría de los equipos renuevan aproximadamente dos tercios de la vida útil del certificado, lo que significa aproximadamente cada 30 días con certificados de 45 días. Let's Encrypt advierte explícitamente que los intervalos de renovación codificados como "cada 60 días" fallarán en un mundo de 45 días. Usar la Información de Renovación ACME (ARI) es el enfoque recomendado.
¿Qué sucede si un certificado SSL/TLS expira?
Los usuarios ven advertencias de seguridad del navegador o fallos de conexión, lo que bloquea el acceso y interrumpe las transacciones. Los certificados expirados también pueden interrumpir el rastreo de motores de búsqueda y la supervisión del tiempo de actividad. Con certificados de 45 días, la ventana entre una renovación fallida y una interrupción visible para el usuario es significativamente más corta que con certificados de 90 días.
¿Afecta la reducción del CA/Browser Forum a los certificados DV, OV y EV?
Sí. La programación de la votación SC-081v3 del CA/Browser Forum se aplica a todos los tipos de certificados TLS de confianza pública — DV, OV y EV — y también reduce cuánto tiempo se pueden reutilizar los datos de validación de dominio e IP (hasta 10 días para marzo de 2029).
¿Qué es el "período de reutilización de autorización" y por qué es importante?
El período de reutilización de autorización es la ventana de tiempo durante la cual la validación de control de dominio previa se puede reutilizar para emitir certificados adicionales sin volver a probar el control. Let's Encrypt reducirá esto de 30 días a solo 7 horas para febrero de 2028. Esto hace que la automatización confiable de desafíos DNS y HTTP sea obligatoria; los procesos de validación manual o poco frecuentes no serán viables.
¿Qué es ARI (Información de Renovación ACME)?
La Información de Renovación ACME (ARI) es una extensión de protocolo que permite a Let's Encrypt indicar a los clientes ACME exactamente cuándo deben renovar un certificado. Let's Encrypt recomienda habilitar ARI para asegurar que las renovaciones se mantengan en el cronograma a medida que las duraciones se acortan, en lugar de depender de intervalos codificados.
¿Cómo puede Dotcom-Monitor ayudar a prevenir interrupciones por expiración de certificados?
La Supervisión de Certificados SSL de Dotcom-Monitor realiza verificaciones externas de la validez del certificado, la corrección de la cadena y la alineación del nombre de host desde múltiples ubicaciones globales, con alertas escalonadas a través de correo electrónico, SMS, Slack y Teams. Esto ayuda a los equipos a detectar fallos en la renovación, desviaciones en el despliegue y inconsistencias regionales antes de que los usuarios se vean afectados.
Matthew Schmitz
About the Author
Matthew Schmitz
Director de Pruebas de Carga y Rendimiento en Dotcom-Monitor

Como Director de Pruebas de Carga y Rendimiento en Dotcom-Monitor, Matt lidera actualmente a un grupo de ingenieros y desarrolladores excepcionales que trabajan juntos para crear soluciones de pruebas de carga y rendimiento de vanguardia para las necesidades empresariales más exigentes.

In this article

Latest Web Performance Articles​

Empiece a utilizar Dotcom-Monitor gratis

No se requiere tarjeta de crédito
Empieza gratis AHORA