Menu

Próximos cambios en las raíces TLS y los perfiles de certificados

6 nov 2025

Próximos cambios en las raíces TLS y los perfiles de certificados

RESUMEN: Esta página contiene los próximos cambios y actualizaciones en las raíces TLS y los perfiles de certificados de GlobalSign. Esta página se revisará periódicamente para reflejar las nuevas actualizaciones. Le recomendamos que la marque como favorita o la visite de nuevo para conocer los últimos cambios y novedades. Para obtener la lista de certificados raíz de GlobalSign, consulte esta página

Resumen de los cambios  

Mozilla y Chrome han anunciado cambios que requieren modificaciones en los certificados raíz que utiliza GlobalSign y en los perfiles de certificados TLS para las ofertas de certificados TLS de confianza pública.  Este artículo describe el origen de estos nuevos requisitos y nuestro calendario para cumplirlos.  

Anuncios  

  • Anuncio de Mozilla sobre la eliminación de raíces con más de 15 años de antigüedad.  

  • Votación SC-81 del CAB Forum para reducir el período máximo de validez a partir de marzo de 2026 a 200 días.  

  • Política del programa raíz de Chrome.  

  • Política de almacenamiento de raíces de Mozilla.  

Calendario de Chrome y Mozilla para eliminar la confianza basada en la antigüedad de la raíz  

Tanto Chrome como Mozilla han anunciado sus planes de eliminar la confianza en las raíces TLS más antiguas en función de las fechas en que se crearon.  

Material clave creado  Eliminación de la raíz para uso TLS   Raíces de GlobalSign aplicables  

Antes de 2006 

15 de abril de 2025 

Raíz R1 de GlobalSign: la emisión está desactivada actualmente  

2006-2007 

15 de abril de 2026 

 

2008-2009 

15 de abril de 2027 

GlobalSign Root R3: debemos dejar de emitir certificados de 200 días antes del 27 de agosto de 2026 para que Mozilla y Chrome los consideren fiables durante toda su vigencia.  

2010-2011 

15 de abril de 2028 

 

2012- 14 de abril de 2014 

15 de abril de 2029 

GlobalSign Root R5 (ECC)  

15 de abril de 2014 - actualidad 

15 años desde su creación 

Raíz GlobalSign R6  

Cronología de Mozilla y Chrome para el cambio a raíces dedicadas TLS  

Tanto Chrome como Mozilla han establecido plazos para la migración a raíces dedicadas a TLS.  Actualmente, las raíces que utiliza Globalsign (R3, R5, R6) son raíces multipropósito que se utilizan para correo seguro, firma de código y otros usos.  En 2019, GlobalSign creó dos raíces dedicadas a TLS, una con claves RSA, R46, y otra con claves ECC, E46.  Para ver la lista de certificados raíz de GlobalSign, consulte esta página. 

Los requisitos más estrictos provienen de la Política del Programa de Raíces de Chrome que, según nuestros planes de emisión, tendrá la restricción SCTNotAfter establecida en todas las raíces multipropósito de GlobalSign a partir de los 90 días posteriores al 15 de junio de 2026.  Esto significa que todos los certificados emitidos bajo cualquiera de las raíces multipropósito de GlobalSign antes del 13 de septiembre de 2026 serán confiables durante todo su período de validez, y cualquier certificado emitido después de esta fecha no será confiable.  

Cambios en el perfil de certificados TLS de Chrome   

Además de la eliminación de las raíces y/o la aplicación de la restricción SCTNotAfter, Chrome ha especificado que los certificados TLS emitidos bajo raíces dedicadas a TLS deben contener únicamente el uso de clave extendido (EKU) ServerAuth.  Esto significa que todos los demás EKU, incluido el EKU ClientAuth de uso común, ya no serán posibles bajo raíces dedicadas a TLS. Recomendamos utilizar el producto IntranetSSL para emitir certificados TLS con capacidades de autenticación de clientes. 

Resumen  

Teniendo en cuenta todas las referencias anteriores, GlobalSIgn seguirá emitiendo certificados TLS con EKU ServerAuth y ClientAuth que serán fiables durante toda su validez de 200 días bajo nuestras raíces multipropósito hasta agosto de 2026; sin embargo, tenemos la intención de realizar la transición antes de esa fecha para evitar cualquier imprevisto de última hora.  A continuación se detalla un plan más detallado: 

Para los clientes de Atlas:  

  • A partir de la rotación de CA del tercer trimestre de 2025 (8 de julio de 2025, según nuestro calendario publicado aquí), se creará un nuevo conjunto de CA bajo nuestras raíces dedicadas a TLS, que estarán disponibles para su uso opcional.  
     
    Los clientes que deseen realizar pruebas con certificados TLS emitidos desde las raíces dedicadas TLS pueden hacerlo utilizando los enlaces de prueba disponibles en el artículo de soporte del certificado raíz de GlobalSign bajo la raíz correspondiente.  

  • Todas las emisiones TLS se trasladarán a las raíces dedicadas a TLS. Proporcionaremos certificados cruzados R3-R46 y R5-E46 que proporcionarán a los navegadores y aplicaciones una cadena que se remonta a R3 y R5 para una mejor ubicuidad.  

Para los clientes de Atlas que no necesiten necesariamente compatibilidad con el navegador, recomendamos encarecidamente utilizar nuestra oferta IntranetSSL, que permite una mayor validez del certificado, una mayor reutilización del dominio, la ausencia de comprobaciones CAA y una mayor privacidad, ya que los certificados no se publican en los registros CT.  

 

Para los clientes de GCC:  

  • En el cuarto trimestre de 2025, se creará un nuevo conjunto de CA MSSL OV/EV para uso opcional. Todas las emisiones se trasladarán en el tercer trimestre de 2026.  

  • El 27 de julio de 2026, los productos minoristas y de socios se transferirán a CA raíz TLS dedicadas.  

Para nuestros clientes empresariales que no necesitan necesariamente compatibilidad con el navegador, recomendamos encarecidamente utilizar nuestra oferta IntranetSSL, que permite una mayor validez de los certificados, una mayor reutilización de los dominios, la ausencia de comprobaciones CAA y una mayor privacidad, ya que los certificados no se publican en los registros CT.  

Productos afectados:  

  • TLS: DV, OV, EV 

  • MSSL: OV, EV 

Related Articles

Protección de varios servidores - Certificados SSL

11 mar 2020, 12:41

Este artículo explica como proteger varios servidores con un certificado SSL. Si esta no es la solución que está buscando, aconsejamos buscar la solución en la barra de búsqueda de arriba.

Lea más

Error Nombre del Certificado de Seguridad No Válido - Certificados SSL

11 mar 2020, 14:48

Cómo corregir el error "El nombre del certificado de seguridad no es válido" en los certificados SSL. Si esta no es la solución que está buscando, aconsejamos buscar la solución en la barra de búsqueda de arriba.

Lea más

Cambiar la Información del Certificado Después de ser Emitido

12 mar 2020, 13:31

Este artículo explicará lo que se puede hacer si se requiere cambiar la información del certificado después de ser emitido. Si esta no es la solución que está buscando, aconsejamos buscar la solución en la barra de búsqueda de arriba.

Lea más

Alertas de Sistema de GlobalSign

Ver alertas recientes del sistema.

Ver Alertas

Atlas Discovery

Escanee sus puntos finales (endpoints) para localizar todos sus Certificados.

Registrarse

Prueba de Configuración para SSL

Verifique la instalación de su certificado para detectar problemas y vulnerabilidades de SSL.

Contacte a Soporte

Contáctenos
close
Ventas: +34 91 1980803
Soporte: +34 91 1980803
Email: contacto@globalsign.com