El dilema de los certificados SSL: ¿por qué nadie usa la opción de 15 años?

Si gestionas infraestructura web desde hace tiempo, ya estás acostumbrado al ciclo de renovar certificados SSL cada 90 días. Es un ritmo constante. Renovación tras renovación.

Pero existe la posibilidad real de emitir un certificado SSL con validez de 15 años. La tecnología está disponible. La infraestructura también. Sin embargo, la mayoría de las webs siguen renovando cada tres meses. La pregunta es por qué.

La opción de 15 años es real

Algunas autoridades de certificación, especialmente dentro del ecosistema de Cloudflare, permiten generar Origin Certificates con validez extendida. No es una función experimental. Está disponible para dominios que usan proxy.

Cómo llegamos al estándar de 90 días

El CA/B Forum eliminó progresivamente los certificados de 2 y 3 años. El motivo principal era reducir el riesgo. Un certificado comprometido con validez larga representa una ventana de vulnerabilidad demasiado amplia.

Además, la rotación frecuente de claves resulta más manejable cuando los periodos son cortos. Y con la llegada de Let's Encrypt, la automatización eliminó cualquier justificación económica para certificados de larga duración.

La automatización lo cambió todo

Hoy en día, renovar certificados manualmente ya no tiene sentido. Las buenas prácticas exigen que la gestión de certificados forme parte del pipeline de despliegue, igual que cualquier otro recurso de infraestructura.

El ciclo de 90 días obliga a mantener esa automatización activa. Funciona como un recordatorio constante para revisar que todo funciona correctamente.

El problema de perder visibilidad

Algunos sistemas pueden elegir automáticamente entre distintos tipos de validación y emitir certificados largos sin intervención manual. Pero esto plantea un problema: pierdes puntos de control.

Cada renovación es una oportunidad para verificar que la automatización sigue operativa. Un certificado de 15 años elimina esos chequeos durante demasiado tiempo.

Cuándo sí tiene sentido un certificado largo

Hay casos específicos donde los certificados de larga duración resultan útiles:

• Servicios internos detrás de Cloudflare, donde el certificado no está expuesto públicamente.
• Entornos de desarrollo y staging.
• Dispositivos IoT con capacidad limitada de actualizaciones.
• Certificados de respaldo para recuperación ante desastres.

La realidad operativa

Aunque uses un certificado de 15 años, tus sistemas de monitorización deberían seguir esperando rotaciones. Tus pipelines de CI/CD deberían seguir probando la emisión de certificados. La documentación debe reflejar cómo se gestionan.

Alargar la validez no elimina el problema operativo. Solo lo pospone.

Qué deberías priorizar

En lugar de buscar certificados más largos, invierte en:

• Automatización robusta que haga la renovación invisible.
• Monitorización y alertas que avisen antes de que expire cualquier certificado.
• Pruebas de recuperación ante desastres.
• Documentación clara sobre el proceso actual.

Un certificado de 15 años no te da tranquilidad operativa. Una automatización sólida, sí.

La ventaja de Cloudflare

Si usas Cloudflare como proxy, puedes emitir Origin Certificates con validez extendida cuando lo necesites. Es una opción disponible, pero rara vez conviene para entornos de producción.

En resumen

Que existan certificados de 15 años y casi nadie los use no es una oportunidad perdida. Es la prueba de que el ecosistema SSL ha encontrado un enfoque mejor: la automatización constante mantiene la infraestructura más segura y predecible.

Mantén tus certificados en movimiento. Y si alguna vez necesitas uno de 15 años para un caso concreto, ahora sabes que existe.