En 2016, cuando Let's Encrypt, una autoridad de certificación de acceso libre, empezó a emitir certificados TLS de 90 días para sitios web, se consideró una medida audaz que ayudó a impulsar el ecosistema hacia una reducción de la duración de los certificados. Antes, las autoridades de certificación solían emitir certificados con una validez de un año o más. Con la versión 4.0, Certbot ahora es compatible con la nueva función de Let's Encrypt para certificados de seis días a través de perfiles ACME y renovación dinámica en:
- 1/3 de la vida útil restante
- 1/2 de la vida útil restante, si la vida útil es inferior a 10 días
Hay algunas razones importantes por las que es mejor que los certificados duren menos:
- Si la clave privada de un certificado se ve comprometida, ese compromiso no puede durar tanto tiempo.
- Con certificados que duran menos, se fomenta la automatización. Esto facilita una seguridad robusta de los servidores web.
- La revocación de certificados es históricamente poco fiable. Los certificados de 10 días o menos evitan tener que invocar el proceso de revocación y lidiar con el uso continuado de una clave comprometida.
Hay debate sobre cuán cortos deben ser estos tiempos de vida, pero con los perfiles ACME puedes tener la experiencia Let's Encrypt predeterminada o «clásica» (90 días) o empezar a usar activamente otros tipos de perfiles a través de Certbot con las banderas --preferred-profile y --required-profile. Para los certificados de seis días, puedes elegir el perfil «shortlived».
Estas nuevas opciones son solo el comienzo de las funciones modernas que puede admitir el ecosistema y nos alegra contar con tiempos de renovación dinámicos para empezar a aprovechar una web más ágil que facilita una mayor seguridad y opciones flexibles para todos. ¡Gracias a la comunidad y al equipo de Certbot por hacer esto posible!
¿Te gusta Certbot tanto como a nosotros? Dona hoy para apoyar este trabajo.
