Cambios de primavera en los certificados raíz/intermedios

8/4/2026 | Jindřich Zechmeister

Durante los meses de abril y mayo de 2026, se retirará la confianza de determinados certificados raíz e intermedios dentro del ecosistema de Mozilla y DigiCert. Este artículo resume los motivos y las repercusiones prácticas de estos cambios.

En los próximos dos meses enfrentaremos una doble desconfianza de varios certificados raíz e intermedios (ICA), que se revocan debido a la compatibilidad con los programas Mozilla Root y Chrome Root. Sin embargo, no tienen que preocuparse, para nuestros clientes esto no representa ninguna complicación.

Desconfianza de Mozilla a certificados raíz G1

Mozilla dejará de confiar en varios certificados raíz G1 antiguos a partir del 15 de abril de 2026. La razón no es su compromiso, sino el hecho de que estos certificados raíz G1 (primera generación) eran multipropósito. Se usaban no solo para emitir certificados TLS para WebPKI, sino también para otros productos como Document Signing. Mozilla y Google quieren que se utilicen jerarquías ICA separadas para WebPKI y navegadores y no se combinen diferentes tipos de productos.

Específicamente, se trata de estos certificados raíz:

• DigiCert Assured ID Root CA
• DigiCert Global Root CA
• DigiCert High Assurance EV Root CA

Estos certificados raíz dejarán de ser confiables en los productos Mozilla a partir del 15 de abril de 2026 y DigiCert ya no los usa por razones preventivas. Los certificados emitidos recientemente ya no utilizan estos certificados raíz y los certificados existentes serán válidos hasta su expiración.

¿Qué significa esto para nuestros clientes?

La mayoría de los clientes ni siquiera se encontrarán con este problema porque emiten sus certificados con un certificado raíz más nuevo (G2 o G3). La necesidad de reemisión y cambio de raíz afectó solo a un pequeño grupo de usuarios que aún usaban las raíces mencionadas. Los notificamos individualmente y les ayudamos con la reemisión.

Revocaciones de mayo - Certificados ICA G3 y G5

El 15 de mayo de 2026, DigiCert revocará varios certificados intermedios G2 y G3, pero no los certificados emitidos por ellos. Estos deberían regenerarse con nuevos intermedios para mantener su confiabilidad. El objetivo de la acción es asignar intermedios separados solo para la emisión de certificados TLS.

ICA revocados al 15 de mayo

Certificados ICA destinados a la emisión de certificados TLS:

• DigiCert Global CA G2
• DigiCert G2 SMIME RSA4096 SHA384 2024 CA1

Certificados ICA destinados a Code Signing:

• DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
• DigiCert Global G3 Code Signing ECC P256 SHA384 2021 CA1
• DigiCert Global G3 Code Signing Europe ECC P-384 SHA384 2023 CA1

También se revocarán dos raíces cruzadas firmadas G5, que generalmente no se utilizaban:

• G3 Cross Signed DigiCert TLS ECC P384 Root G5
• G3 Cross Signed DigiCert CS ECC P384 Root G5

¿Qué significa esto para nuestros clientes?

En el caso de estos cambios realizados el 15 de mayo, podemos afirmar que el impacto en nuestros clientes es absolutamente nulo y no es necesario realizar reemisiones.

Nuestras recomendaciones para clientes y desarrolladores

Recomendamos encarecidamente no usar el llamado "certificate pinning" para aplicaciones y otros proyectos que utilicen certificados. La confianza del certificado debe verificarse en relación a su certificado raíz y las firmas subsecuentes en la cadena de certificación (cadena), cualquier control "estricto" de las CA emisoras es muy arriesgado en el futuro. Introduces un mecanismo en las aplicaciones que te complicará la vida más adelante, porque el ICA seguramente cambiará.

Los próximos cambios son un ejemplo de esto y todas las CA en el futuro quieren rotar sus certificados ICA aún más a menudo y establecer jerarquías separadas para diferentes propósitos de uso. Además, en los próximos años, el algoritmo utilizado cambiará con la llegada del PQC, antes de ello certificados híbridos, por lo que los cambios en esta dirección son inevitables. Utiliza en lugar del "CA pinning" otros mecanismos de verificación que no se romperán en caso de un cambio de certificado intermedio.

Recursos y más información

• DigiCert root and intermediate CA certificate updates 2023
• DigiCert transitioning multipurpose G2 and G3 roots to dedicated TLS root hierarchies