¿Qué cambia exactamente?
Hasta ahora, era común que los certificados web emitidos por autoridades de certificación (CA) se usaran para varias funciones: autenticar servidores web, autenticar clientes, establecer canales cifrados, entre otros. Era como usar una llave maestra para todas las puertas, aunque cada puerta necesitara una llave distinta.
Google ha decidido acabar con esta flexibilidad. A partir de junio de 2026, los certificados deberán tener un uso exclusivo, específicamente para autenticación de servidores TLS (el protocolo que protege las conexiones HTTPS). Si un certificado es usado para otro propósito fuera de este alcance, será considerado mal configurado o no conforme, y Chrome lo rechazará.
¿Por qué Google toma esta decisión?
El motivo principal es mejorar la seguridad y la confianza digital. Según expertos como Timothy Hollebeek, de DigiCert, esta decisión marca una evolución en la forma en que se gobierna la confianza en la red. Al separar claramente los usos de los certificados, se reduce el riesgo de que un solo fallo comprometa múltiples sistemas.
Pensemos en esto como en la seguridad de una empresa: si todos los empleados usaran la misma tarjeta para acceder tanto a la oficina como a los servidores, cualquier pérdida de esa tarjeta pondría en peligro toda la infraestructura. Usar una tarjeta distinta para cada acceso reduce ese riesgo.
¿Quiénes se verán más afectados?
Las empresas que más usan certificados multipropósito son las más expuestas. Esto incluye a muchas del sector financiero, donde se tiende a utilizar un mismo certificado tanto para navegación web como para autenticación de clientes dentro de una red privada. A partir del cambio, estas organizaciones tendrán que dividir funciones y usar certificados específicos para cada necesidad.
Jason Soroko, de Sectigo, lo resume así: “los certificados de autenticación de cliente deben venir de una autoridad privada, no de una CA pública”. Es decir, en lugar de ir a una gran tienda a comprar una herramienta genérica, conviene fabricar una específica dentro de casa, adaptada a las necesidades propias.
¿Qué es el principio de menor privilegio?
El concepto detrás de esta decisión de Google está alineado con el llamado principio de menor privilegio. Esto significa que cada componente de un sistema solo debe tener acceso a lo estrictamente necesario para funcionar, nada más. Al aplicar esto a los certificados, se busca que un certificado no pueda hacer más de lo que debería.
Erik Avakian, consejero técnico en Info-Tech, comenta que este cambio ayuda a forzar buenas prácticas de seguridad. “Los usuarios tienden a hacer lo más fácil, a menos que se les obligue a mejorar”, señala. Esta medida de Google es una manera de empujar al ecosistema a elevar sus estándares.
¿Y qué pasa con los certificados actuales?
Si ya estás usando certificados de propósito múltiple, es momento de actuar. Aunque aún falta casi un año, la transición puede ser compleja, sobre todo si tu infraestructura depende de estos certificados.
Google ha detallado que, de forma excepcional, podría mantener temporalmente algunos certificados antiguos en su Chrome Root Store, siempre que las CA correspondientes estén trabajando en una alternativa conforme y hayan enviado una solicitud formal. Pero esto será solo un salvavidas temporal, no una solución permanente.
Consejos para prepararte
- Haz un inventario de tus certificados actuales y verifica si alguno se usa para múltiples funciones.
- Consulta con tu proveedor de certificados sobre opciones específicas para autenticación TLS y autenticación de cliente.
- Evalúa tu infraestructura: ¿puedes implementar una PKI interna (infraestructura de clave pública) para funciones que no requieren conexión externa?
- Planifica con antelación la sustitución de los certificados afectados. Haz pruebas antes de desplegar cambios en producción.
- Forma a tu equipo técnico sobre los nuevos requisitos y buenas prácticas en gestión de certificados.
Un paso hacia la confianza segmentada
El cambio que propone Google no es solo una cuestión técnica, sino también cultural. Es una invitación a dejar atrás la comodidad de las soluciones universales y adoptar un enfoque más riguroso y especializado.
A largo plazo, esta medida contribuirá a reforzar el ecosistema de seguridad digital, reduciendo vulnerabilidades y promoviendo una confianza segmentada más robusta.
☞ El artículo completo original de Natalia Polo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario