Nuevos certificados ROOT

Las Autoridades de Certificación están respondiendo a nuevos requisitos y políticas de Mozilla y Google y están desplegando nuevos certificados Root para cumplirlos y garantizar que sus certificados sean de confianza en los navegadores. Estos cambios también cumplen con los requisitos de seguridad en evolución y siguen los estándares de la industria y las reglas establecidas por el CA/Browser Forum para los certificados Root.

Si utiliza sistemas operativos y navegadores actualizados, y sus clientes/visitantes de su sitio web también, lo más probable es que no note ningún cambio.
Para sistemas más antiguos o desactualizados (por ejemplo, versiones antiguas de Android < versión 14), es necesario instalar los llamados certificados cruzados en el servidor para garantizar el funcionamiento ininterrumpido y correcto de los certificados SSL, incluidos los certificados S/MIME.
El certificado cruzado se coloca al final de la jerarquía de certificados ROOT durante la instalación en la llamada cadena de certificados (certificados intermedios), que se instala en el servidor junto con el certificado emitido.

CA DigiCert (Thawte, GeoTrust, RapidSSL)

La Autoridad de Certificación DigiCert comenzó la migración de sus certificados Root de segunda generación (G2) ya en 2023. La información sobre los cambios se publica en la página DigiCert root and intermediate CA certificate updates 2023.

CA Certum

CA Certum introdujo nuevos certificados Root en cumplimiento con las políticas de Mozilla y Google el 15 de septiembre de 2025. Es importante saber que se distinguen los certificados con RSA o curvas elípticas (ECC). Más información publicada por CA Certum en la página Certum implements new Root CAs

CA Sectigo

CA Sectigo comenzó la migración de Root CAs públicas en 2025, específicamente en abril (EV), mayo (OV) y junio (certificados DV, certificados PositiveSSL). Más información se publica en la página Sectigo KB - Public Root CAs Migration

Certificados PositiveSSL

Para que estos populares certificados SSL sean de confianza también en versiones antiguas de sistemas operativos y navegadores, es necesario añadir el certificado cruzado USERTrust a los certificados Root. Si no dispone del archivo completo CA Bundle, puede descargarlo aquí.

Certificados intermedios en el archivo cabundle-positivessl.txt (descargar):

            ---
            CN: Sectigo Public Server Authentication CA DV R36
            Válido hasta: 21 de marzo de 2036
            ---
            CN: Sectigo Public Server Authentication Root R46
            Válido hasta: 18 de enero de 2038
            ---
            CN: USERTrust RSA Certification Authority
            Válido hasta: 18 de enero de 2038
            ---
        

FAQ

¿Por qué son necesarios estos cambios?

Estos cambios son esenciales para garantizar la seguridad y confiabilidad de los certificados SSL/TLS de acuerdo con los estándares y requisitos de seguridad actuales. Los certificados Root antiguos pueden tener una seguridad más débil o no cumplir con los nuevos requisitos, lo que puede provocar problemas de compatibilidad y confianza con los certificados.

Qué se recomienda hacer

• Descontinuar el Certificate Pinning si se utiliza
• Actualizar los certificados en uso
• Actualizar sus sistemas

¿Qué es el cross-signing?

Las Autoridades de Certificación suelen administrar múltiples certificados Root y, en general, cuanto más antiguo es el ROOT, mayor es su distribución en plataformas más antiguas. Para aprovechar esto, generan certificados cruzados para garantizar la mayor compatibilidad posible de sus certificados. Certificado cruzado significa que un certificado Root firma otro certificado Root.
Más información: Sectigo KB - What is Cross-Signing?

Dónde encontrar más información

• Google Chrome: Google Chrome Root Program Policy
• Microsoft: Microsoft Trusted Root Program
• Mozilla: Mozilla Root Store Policy
• CA/B Forum: cabforum.org

Instalación de nuevos certificados Root en sistemas Windows (IIS)

Los nuevos certificados ROOT se agregan regularmente a través de Windows Update, pero si desea asegurarse de que estén instalados, puede descargarlos e instalarlos manualmente. Sin embargo, a veces puede ocurrir un problema con los certificados de sitios web que tienen múltiples rutas de certificación de confianza hacia las Autoridades de Certificación Root. El certificado del sitio web entonces aparece como no confiable para los visitantes con sistemas más antiguos, lo cual es causado por un certificado cruzado faltante que IIS no publica correctamente.
La solución para los administradores de IIS está aquí: Certificate validation fails when a certificate has multiple trusted certification paths to root CAs.

---

¿A dónde ir después?

• Certificado SSL - Todo lo que necesitas saber
• ¿Qué es un Certificado SSL WildCard?
• Formatos de certificado (PEM, KEY, CSR, PFX, ...)
• Reducción de la duración de los certificados