Certificados de 45 días de Let's Encrypt: Lo que los equipos empresariales necesitan saber

1 de julio de 2026
11 mins de lectura
Certificados de 45 días de Let's Encrypt: Lo que los equipos empresariales necesitan saber

Introducción#

El panorama de los certificados SSL está a punto de experimentar el cambio más significativo de los últimos años. Let's Encrypt, la mayor autoridad certificadora del mundo, está pasando de certificados con validez de 90 días a certificados de 45 días. Para los equipos empresariales que gestionan cientos o miles de dominios, esto no es un ajuste menor: es un cambio fundamental en la forma en que debe operar la gestión de certificados SSL.

Si tu equipo todavía gestiona las renovaciones de SSL de forma manual, pronto sentirás la presión. Lo que antes eran cuatro ciclos de renovación al año pasa a ser ocho. Lo que era una tarea trimestral manejable se convierte en una carga operativa perpetua. El calendario ya está en marcha, y los equipos de infraestructura que se preparen ahora navegarán la transición sin problemas. Los que no lo hagan se enfrentarán a un mayor riesgo de interrupciones y a una carga operativa creciente.

Este artículo desglosa el anuncio, el razonamiento detrás de él, cómo se ve el cronograma de la transición y qué deberían hacer los equipos empresariales para prepararse.

El anuncio: Let's Encrypt pasa de validez de 90 días a 45 días en los certificados#

Let's Encrypt anunció a mediados de 2026 su intención de reducir la validez máxima de los certificados de 90 días a 45 días. El cambio afecta a todos los certificados nuevos emitidos después de la fecha de transición. Los certificados existentes seguirán siendo válidos hasta su vencimiento natural, pero las renovaciones estarán sujetas a la nueva validez de 45 días.

No se trata de una decisión repentina. Let's Encrypt ha ido acortando progresivamente la validez de los certificados desde su lanzamiento. Empezaron con 90 días cuando la mayoría de las CA comerciales ofrecían certificados de un año. El paso a 45 días continúa una tendencia hacia certificados de vida más corta, hacia la cual se ha movido toda la industria.

El impacto práctico es sencillo: cada dominio protegido por Let's Encrypt necesitará renovar el certificado el doble de a menudo. Para las organizaciones que ya han automatizado su proceso de renovación, la transición puede ser fluida. Para los equipos que dependen de procesos manuales o flujos de trabajo semi-automatizados, el impacto operativo será considerable.

Por qué está pasando: mejor práctica de seguridad — limitar la ventana de compromiso#

Las validades más cortas de los certificados son, fundamentalmente, una mejora de seguridad. Cada certificado TLS representa un posible vector de ataque. Si la clave privada de un certificado se ve comprometida, un atacante puede hacerse pasar por el dominio legítimo hasta que el certificado expire o se revoque. Cuanto más larga sea la validez del certificado, más tiempo permanecerá abierta esa ventana de compromiso.

Los certificados de 45 días reducen esa ventana a la mitad en comparación con el estándar actual de 90 días. Si una clave se ve comprometida el día uno, la exposición máxima es de 45 días en lugar de 90. En la práctica, la exposición suele ser más corta, pero el límite importa, especialmente para organizaciones que quizá no detecten una intrusión de inmediato.

También existe un argumento sobre la revocación. La revocación de certificados mediante CRL y OCSP históricamente ha sido poco fiable. Los navegadores no siempre comprueban el estado de revocación de manera consistente, y los certificados revocados a veces siguen considerándose de confianza. Las duraciones más cortas reducen la dependencia de la infraestructura de revocación. Si un certificado solo dura 45 días, revocarlo se vuelve menos crítico: de todos modos expira pronto.

La comunidad de seguridad lleva mucho tiempo abogando por duraciones de certificados más cortas. El cambio de Let's Encrypt pone en práctica lo que los investigadores de seguridad han recomendado durante años.

Propuesta del Parallel CA/Browser Forum de Google — Esto no es solo Let's Encrypt#

Let's Encrypt no está actuando en solitario. Google ha estado impulsando una propuesta paralela a través del CA/Browser Forum para reducir, en toda la industria, la vida máxima de los certificados a 45 días. Esto afectaría a todas las autoridades certificadoras, no solo a Let's Encrypt, incluidas CA comerciales como DigiCert, Sectigo y GlobalSign.

La propuesta del CA/B Forum todavía está en discusión, pero la participación de Google indica que las duraciones de 45 días probablemente se convertirán en un estándar de la industria, no solo en una política de Let's Encrypt. Cuando el mayor proveedor de navegadores y la mayor autoridad certificadora se alinean en una política de seguridad, la adopción suele seguirles.

Para los equipos empresariales, esto significa que la era de certificados de 45 días no es una preocupación exclusiva de Let's Encrypt. Si hoy usas certificados comerciales con una vigencia de un año, debes esperar que esas vigencias también se reduzcan. Todo el ecosistema de certificados SSL se está moviendo hacia certificados de corta duración, y la transición ya está en marcha.

Cronograma: Cuándo ocurre el cambio y cómo se ve el periodo de transición#

Let's Encrypt ha señalado una implementación por fases. Las fechas exactas aún se están finalizando, pero el cronograma esperado sigue un patrón similar al de sus reducciones de vigencia anteriores:

**Fase de anuncio (actual):** Comunicación pública, actualizaciones de documentación y preparación de herramientas. El software de cliente como Certbot y las bibliotecas de ACME recibe actualizaciones para gestionar las nuevas vigencias.

**Despliegue por fases:** El plazo de vida de 45 días se aplica primero a un subconjunto de nuevas emisiones de certificados, lo que permite a Let's Encrypt supervisar posibles problemas y recopilar datos sobre los patrones de renovación.

**Aplicación total:** Todos los certificados nuevos emitidos por Let's Encrypt incluyen el tiempo máximo de vida de 45 días. Los certificados existentes de 90 días continúan hasta su vencimiento natural.

Para equipos empresariales, el plazo práctico es cuando tu automatización actual alcanza su ciclo de renovación después de la transición. Si hoy tus certificados se renuevan cada 60 días, tienes aproximadamente un ciclo de renovación después de que cambie la política antes de que estés emitiendo certificados de 45 días.

Comienza a hacer redireccionamientos 5x más rápido con RedirHub

Obtén redireccionamientos en menos de 100 ms – con HTTPS automático, analíticas y sin configuración.

Comienza Gratis

Lo que significan realmente 45 días: 8 ciclos de renovación al año frente a los 4 actuales#

El cálculo es sencillo, pero el impacto operativo no lo es. Pasar de certificados de 90 días a certificados de 45 días significa:

**La frecuencia de renovación se duplica.** En lugar de cuatro ciclos de renovación al año por dominio, estás gestionando ocho. Para un equipo que administra 100 dominios, eso son 800 eventos de renovación al año en lugar de 400. Para equipos que administran miles de dominios, las cifras se vuelven incontrolables sin una automatización total.

**Las ventanas de renovación se reducen.** Con certificados de 90 días, la mayoría de los sistemas de renovación automatizados comienzan a intentar la renovación 30 días antes del vencimiento, dejando un margen cómodo de 30 días. Con certificados de 45 días, ese mismo margen de 30 días deja solo 15 días de colchón. La lógica de renovación debe ser más agresiva y más fiable.

**Disminuye la tolerancia a fallos.** Con certificados de 90 días, un fallo de renovación te da semanas para investigar y resolver antes del vencimiento. Con certificados de 45 días, tienes días. Cada fallo de renovación es más urgente y tu supervisión debe ser más receptiva.

**El control de velocidad se vuelve un problema.** Let's Encrypt aplica límites de velocidad a la emisión de certificados. Duplicar la frecuencia de renovación significa que estás consumiendo el doble del presupuesto de límites de velocidad. Los equipos que estén cerca de sus límites con certificados de 90 días podrían alcanzarlos con certificados de 45 días y necesitarán ajustar sus patrones de emisión.

En resumen: los procesos de renovación manuales o semi-automatizados que apenas funcionaban con 90 días fallarán con 45 días. La automatización total ya no es opcional.

A quién afecta más: equipos que gestionan 100+ dominios con procesos manuales de SSL#

La era de certificados de 45 días no afecta a todos por igual. Aquí está quién siente el mayor impacto:

**Inversores en dominios y gestores de carteras.** Los equipos que gestionan cientos o miles de dominios aparcados, redirigidos o monetizados soportan la mayor carga operativa. Cada dominio necesita su propio certificado. La renovación manual a esta escala ya era dolorosa con 90 días. Con 45 días, no es viable.

**Agencias que gestionan dominios de clientes.** Las agencias digitales a menudo gestionan SSL para decenas o cientos de dominios de clientes. Cada cliente puede usar infraestructuras distintas, procesos de renovación diferentes y distintos niveles de automatización. El plazo de 45 días amplifica cualquier inconsistencia en sus flujos de renovación.

**Plataformas de e-commerce con múltiples tiendas.** Las operaciones de e-commerce multi-marca ejecutan dominios separados para cada marca, cada región y cada campaña. El número de certificados se multiplica rápidamente, y también la carga de renovación.

**Plataformas SaaS con dominios personalizados.** Los productos SaaS que permiten a los clientes aportar sus propios dominios suelen gestionar el aprovisionamiento de SSL como parte del onboarding. Con certificados de 45 días, la infraestructura de renovación debe ser a prueba de balas: un fallo de renovación para el dominio de un cliente significa que su sitio muestra una advertencia de seguridad.

Los equipos con renovación totalmente automatizada basada en ACME quizá no noten el cambio en absoluto. La vida útil del certificado queda abstraída por una infraestructura que renueva automáticamente. La línea divisoria es la automatización: si tu proceso de renovación implica que una persona revise un panel o ejecute un script, estás del lado equivocado.

La brecha de preparación empresarial#

Las encuestas del sector dibujan un panorama preocupante. A pesar de años de disponibilidad de Let's Encrypt y de la madurez de la automatización con ACME, un porcentaje significativo de organizaciones aún gestiona las renovaciones de SSL mediante procesos manuales o semi-automatizados.

Las brechas comunes incluyen: certificados gestionados mediante hojas de cálculo en lugar de monitorización automatizada, scripts de renovación que requieren activación manual, alertas de caducidad que llegan a bandejas de entrada no monitorizadas y certificados comodín desplegados en la infraestructura sin una coordinación centralizada de la renovación.

La brecha de preparación es más amplia en las organizaciones que adoptaron Let's Encrypt desde temprano, pero nunca automatizaron por completo su proceso de renovación. Configuraron Certbot en algunos servidores hace cinco años, añadieron un trabajo cron y no han vuelto a revisar la configuración desde entonces. Esos trabajos cron pueden ejecutarse cada 60 días, lo cual no será suficiente para certificados de 45 días.

La recomendación de los equipos de infraestructura que ya hicieron la transición es consistente: audite sus procesos de renovación ahora. Mapee cada certificado en su infraestructura, verifique que la renovación esté automatizada y supervisada, y pruebe sus procedimientos de recuperación ante fallos. La era de 45 días expondrá cada brecha en su proceso de renovación.

Conclusión#

Se acerca la era de los certificados de 45 días, y no es solo un cambio de política de Let's Encrypt: es un cambio a nivel de la industria hacia ciclos de vida de certificados más cortos, impulsado por las mejores prácticas de seguridad. Para los equipos empresariales, la línea divisoria entre quienes sienten el impacto y quienes no es simple: la automatización.

Si su proceso de renovación de SSL está totalmente automatizado mediante ACME —si los certificados se renuevan, se instalan y se verifican sin intervención humana— es posible que no note el cambio en absoluto más allá de actualizar un parámetro de configuración. Si su proceso de renovación incluye pasos manuales, hojas de cálculo o scripts activados por humanos, el plazo de 45 días expondrá cada brecha en su infraestructura.

Los pasos prácticos son directos: audite su inventario de certificados, verifique la cobertura de automatización, pruebe escenarios de fallos en la renovación y asegúrese de que la supervisión detecte las expiraciones antes de que los usuarios vean advertencias del navegador. Los equipos que lo hacen ahora —antes de que el plazo se reduzca— atravesarán la transición sin incidentes.

Audite su proceso de renovación de SSL ahora. Se acerca la era de 45 días: vea cómo funciona la gestión automatizada de SSL.

Comienza a hacer redireccionamientos 5x más rápido con RedirHub

Obtén redireccionamientos en menos de 100 ms – con HTTPS automático, analíticas y sin configuración.

Comienza Gratis

Preguntas frecuentes

Let's Encrypt ha anunciado su intención de reducir la duración de los certificados de 90 días a 45 días, con un despliegue gradual que se espera hasta 2026. La fecha exacta de plena aplicación aún se está finalizando, pero la transición ya ha comenzado. Consulta el foro comunitario de Let's Encrypt para las últimas actualizaciones sobre el cronograma.

Actualmente, el cambio se aplica directamente a los certificados de Let's Encrypt. Sin embargo, Google tiene una propuesta paralela a través del CA/Browser Forum para reducir la duración máxima de los certificados a 45 días en todas las autoridades de certificación. Si se adopta, esto afectaría a las CA comerciales como DigiCert y Sectigo también. Los equipos empresariales que utilizan certificados comerciales deben monitorear los desarrollos del CA/B Forum.

La renovación automatizada utiliza el protocolo ACME, que Let's Encrypt admite de forma nativa. La mayoría de las organizaciones utilizan clientes ACME como Certbot, acme.sh o soporte ACME integrado en balanceadores de carga y proxies inversos. La clave es asegurarse de que el proceso de renovación se ejecute automáticamente (típicamente a través de cron o temporizador systemd), maneje la instalación sin intervención manual e incluya monitoreo para fallos de renovación.

No. La duración del certificado no afecta las calificaciones de seguridad de herramientas como SSL Labs o Mozilla Observatory. La fuerza de cifrado, el tamaño de la clave y el soporte de protocolo son independientes de la duración del certificado. Las duraciones más cortas son vistas positivamente por los auditores de seguridad, ya que limitan la ventana de compromiso de la clave.

Sí. RedirHub aprovisiona y renueva automáticamente certificados SSL para todos los dominios gestionados a través de su infraestructura de borde. Los certificados se aprovisionan a través de la integración ACME de Let's Encrypt y se renuevan automáticamente antes de su expiración. Esto significa que los dominios que utilizan RedirHub para la gestión de redirecciones no requerirán cambios operativos cuando la política de 45 días entre en vigor.

Un certificado expirado provoca que los navegadores muestren una advertencia de seguridad, típicamente un intersticial de página completa que los usuarios deben hacer clic para acceder al sitio. Esta advertencia erosiona la confianza del usuario y puede causar una pérdida significativa de tráfico. Para aplicaciones de comercio electrónico y SaaS, la expiración del certificado puede impactar directamente en los ingresos y la confianza del cliente.

Una empresa de tamaño mediano típicamente gestiona entre 100 y 500 dominios a través de marcas de productos, campañas de marketing, sitios regionales y servicios internos. Con duraciones de 45 días, eso significa entre 800 y 4,000 eventos de renovación anuales, en comparación con 400 y 2,000 a 90 días. La diferencia operativa es sustancial, especialmente para organizaciones con procesos de renovación manual o semi-automatizados.

Una vez que la política de 45 días esté completamente en vigor, todos los nuevos certificados de Let's Encrypt tendrán una duración máxima de 45 días. Los certificados existentes de 90 días serán honrados hasta su expiración natural. Si necesitas certificados de mayor duración, las CA comerciales aún ofrecen certificados de un año, aunque el CA/B Forum podría reducir esos máximos en el futuro.

Linh Tran - Infrastructure Engineer

Linh handles the backend systems that keep RedirHub fast and reliable. Her work revolves around performance, scalability, and making sure redirects happen instantly, no matter where users are. She likes solving complex problems quietly.