🔐 ¿Qué cambiará en los certificados web con Chrome a partir de 2026?
Google ha anunciado un cambio histórico en la política de seguridad de su navegador Chrome: a partir del 15 de junio de 2026, solo aceptará certificados digitales de un solo uso, específicamente para autenticación de servidores TLS (HTTPS). Los certificados multipropósito serán rechazados.
🎯 Esto impactará especialmente a empresas del sector financiero y a quienes usen un solo certificado para múltiples funciones.
🔍 ¿Qué son los certificados multipropósito y por qué se eliminarán?
Hasta ahora, era común que un certificado sirviera para múltiples tareas:
| Función | ¿Permitida desde 2026? |
|---|---|
| Autenticación de servidor TLS (HTTPS) | ✅ Permitida |
| Autenticación de cliente (usuarios internos) | ❌ Prohibida |
| Cifrado de correos, VPN, acceso remoto | ❌ Prohibida |
Google busca aplicar el principio de menor privilegio, es decir, que cada certificado solo haga lo que debe, sin permisos extra que puedan comprometer la seguridad.
🧠 ¿Por qué Google hace este cambio?
El objetivo es reforzar la confianza digital:
-
Menos riesgo de vulnerabilidades cruzadas si un certificado es comprometido.
-
Se fuerza a los administradores a aplicar mejores prácticas de seguridad.
-
Se impulsa el uso de PKIs privadas y segmentadas.
🔎 Como señala Timothy Hollebeek (DigiCert):
“Es una evolución necesaria en la gobernanza de la confianza en Internet.”
🏢 ¿A quiénes afecta más este cambio?
Especialmente a sectores donde los certificados multipropósito son comunes:
-
Bancos y entidades financieras que usan un mismo certificado para HTTPS y para autenticar clientes en redes privadas.
-
Infraestructuras empresariales que aún no segmentan funciones criptográficas.
-
Empresas que dependen de CA públicas para múltiples servicios.
💬 Según Jason Soroko (Sectigo):
“Los certificados de cliente deben venir de una autoridad interna, no de una CA pública.”
🧱 ¿Qué implica aplicar el principio de menor privilegio?
Este principio es una buena práctica en ciberseguridad:
Cada componente del sistema debe tener acceso solo a lo estrictamente necesario.
Aplicado a certificados:
| Antes | Con la nueva política |
|---|---|
| Un certificado para todo | Certificados diferentes para cada función |
| Más sencillo pero menos seguro | Más seguro aunque más segmentado |
| Riesgo de uso indebido o filtraciones | Reducción del impacto ante brechas |
🔐 Como destaca Erik Avakian (Info-Tech):
“Los usuarios hacen lo más fácil… a menos que se les obligue a mejorar.”
⏳ ¿Qué pasa con los certificados actuales?
🔴 Si usas certificados multipropósito, no esperes al último momento. Aunque la fecha límite es en 2026, la transición puede ser compleja y debe planificarse desde ahora.
Google permitirá, de forma temporal y excepcional, mantener certificados antiguos si:
-
La CA está desarrollando una alternativa conforme.
-
Se solicita su inclusión en el Chrome Root Store de forma formal.
⚠️ Pero esto no es una solución definitiva, solo una medida de transición.
✅ ¿Cómo prepararse para el cambio?
📋 5 pasos esenciales:
-
Haz un inventario de todos tus certificados actuales.
-
Identifica cuáles son multipropósito o están en riesgo de quedar obsoletos.
-
Consulta a tu CA o proveedor para obtener certificados dedicados por función.
-
Evalúa si necesitas implementar una PKI interna.
-
Capacita a tu equipo técnico en las nuevas políticas de gestión de certificados.
🧠 Recuerda: lo técnico se vuelve estratégico cuando afecta la continuidad y seguridad del negocio.
🔄 ¿Qué beneficios traerá este cambio?
Aunque complejo, este cambio representa un paso hacia una cultura de seguridad digital más madura y segmentada
