Let's Encrypt acaba de hacer realidad algo que anunció en enero de 2025: certificados con una vida útil de apenas seis días.  Mientras la industria sigue discutiendo si reducir la validez de los certificados a cuarenta y siete días es razonable o no, Let's Encrypt ha ido mucho más allá y además ha introducido algo que nunca antes había ofrecido: certificados para direcciones IP.

La pregunta obvia es: ¿para qué querría alguien un certificado que expira en menos de una semana? La respuesta tiene que ver con la ventana de oportunidad que tendrían los atacantes si consiguen comprometer tus claves privadas. Imagina dos escenarios: alguien logra acceder a tus servidores o uno de tus empleados decide robar las claves. Con un certificado de noventa días, ese material robado podría utilizarse durante tres meses. Con uno de seis días, la ventana se reduce drásticamente. Esto cobra sentido especialmente para instituciones financieras o sistemas con millones de usuarios donde el riesgo de ataques activos de red es real.

Ahora bien, hay que hablar del elefante en la habitación: la revocación de certificados simplemente no funciona bien. Nadie presta atención a las listas de revocación, así que si te roban un certificado y lo revocas, probablemente no sirva de mucho.

El precio que pagas por estos certificados ultrarrápidos es operativo. Si actualmente renuevas cada sesenta días, con certificados de seis días estarás renovando cada cuatro días aproximadamente, es decir, quince veces más frecuentemente. El problema no es tanto la frecuencia en sí, sino el margen de error. Si revisas tus certificados diariamente y renuevas treinta días antes de que expiren, tienes unas treinta oportunidades para conseguir un nuevo certificado. Con certificados de seis días, ese margen se reduce a apenas tres intentos. No necesitas gente disponible las veinticuatro horas, pero sí necesitarás turnos de fin de semana.

Hace unos años me habría preocupado el problema de los relojes desincronizados en los dispositivos de los usuarios finales. Cuando tienes una audiencia global, muchos de tus clientes tienen relojes mal configurados, y esto puede causar problemas incluso con certificados de larga duración, pero con estos de seis días el problema se magnificaría. Sin embargo, parece que este tema ha dejado de ser relevante porque nadie se ha quejado en los últimos años, aunque conviene tenerlo presente.

La otra novedad interesante son los certificados para direcciones IP. Aunque es un caso de uso de nicho, es tremendamente útil para dispositivos de red que necesitan seguridad pero no tienen necesariamente nombres de host. Hay otras formas de lograr lo mismo, pero tiene mucho sentido proteger el acceso por IP directamente.

Al final, esto no es para todo el mundo. Si tu infraestructura no está completamente automatizada o no tienes un equipo que pueda supervisar renovaciones tan frecuentes, probablemente no necesites complicarte la vida con certificados de seis días. Pero si trabajas en un entorno donde la seguridad es crítica y el riesgo de compromiso de claves es real, esta puede ser una herramienta valiosa.