Desconfianza de Entrust: Cómo migrar a una nueva Autoridad de Certificación
Entrust, una Autoridad de Certificación (CA) en la que se confiaba antaño, se ha enfrentado a un revés importante, ya que Google y Mozilla han anunciado que dejarán de confiar en los certificados SSL/TLS de Entrust debido a problemas de seguridad. Esta medida obliga a los clientes actuales de Entrust a buscar CA alternativas para garantizar conexiones digitales seguras, evitar posibles riesgos de ciberseguridad y asegurar una protección continua. En este blog se describen los pasos necesarios para migrar los certificados y se subraya la importancia de la gestión activa y la automatización para mantener la seguridad digital.
Artículo actualizado el 11 de septiembre de 2024 debido al último anuncio de Google.
Entrust fue una vez un nombre en el mercado de certificados SSL (Secure Sockets Layer) / TLS (Transport Layer Security) en el que muchas organizaciones confiaban. Como autoridad de certificación (CA) comprometida con la seguridad de las conexiones, esta empresa trabaja para ayudar a crear experiencias digitales seguras al tiempo que protege las redes y dispositivos vulnerables. Desgraciadamente, Entrust no ha cumplido su promesa, y ahora que Google ya no «confía por defecto» en los certificados digitales de Entrust, y que Mozilla también sigue su ejemplo y desconfía de estos certificados, los clientes actuales de Entrust SSL se ven obligados a buscar soluciones.
Este es un momento revelador para aquellos que una vez confiaron en Entrust para ofrecer un cifrado y una autenticación sólidos. Con dos de los principales actores del mundo digital expresando dudas evidentes sobre la capacidad de Entrust para proteger a los usuarios, ha quedado claro para los clientes actuales que hay que explorar otras vías. Cambiar de autoridad de certificación puede parecer un proceso complicado, pero si la ciberseguridad de su organización está en juego, es necesario.
La elección de una CA de confianza adecuada para su organización hará que la transición sea fácil y eliminará cualquier complicación del proceso. Nuestro equipo de Sectigo estará encantado de guiarle en este proceso y proporcionarle una mayor tranquilidad a medida que encuentra su nueva normalidad. Siga leyendo para saber qué está pasando con Entrust, qué implicaciones de ciberseguridad podría tener para los clientes de Entrust - y qué se necesita para migrar a una nueva Autoridad de Certificación para sus servicios de certificados SSL.
Entender lo que le ha pasado a Entrust
En un reciente anuncio de Google, el gigante de Internet compartió su intención de, como explica Forbes, «revocar los certificados Transport Layer Security emitidos por Entrust... con el argumento de priorizar la seguridad y privacidad de los usuarios de Chrome». Forbes añade que se trata de un gran problema, dada la responsabilidad de la CA de «actuar como base de las conexiones cifradas en las que confían los usuarios entre su navegador web e Internet.»
Según el equipo de seguridad del navegador Google Chrome, «los informes de incidentes divulgados públicamente [han] puesto de relieve un patrón de comportamientos preocupantes por parte de Entrust que no están a la altura» de las expectativas, y añaden que esto ha «erosionado la confianza en la competencia, fiabilidad e integridad [de Entrust] como empresa de confianza pública».
Como resultado, los usuarios que se dirijan a sitios con certificados digitales de Entrust acabarán encontrando mensajes que indiquen que sus conexiones no son seguras o privadas. Actualmente, los certificados SSL/TLS firmados el 12 de noviembre o antes deberían seguir siendo válidos, pero todo cambia el 12 de noviembre, cuando se desconfiará de los certificados SSL/TLS de Entrust.
En respuesta a este fiasco, Todd Wilkinson, consejero delegado de Entrust, emitió un comunicado en el que explicaba: «Nuestros recientes incidentes de emisión errónea surgieron de una mala interpretación que hicimos de los requisitos de cumplimiento de CA/Foro de navegadores. En nuestro intento de resolver este problema, nuestros cambios crearon nuevas emisiones erróneas no relacionadas con la seguridad.»
Aunque Wilkinson afirma que Entrust ha cambiado procesos y políticas clave para solucionar estos problemas, sigue existiendo un problema central: es posible que los clientes de Entrust que antes estaban satisfechos ya no confíen en que sus certificados SSL les proporcionen suficiente protección.
Cómo cambiar a una nueva autoridad de certificación
Dado que los sitios que utilizan certificados de Entrust emitidos después del 11 de noviembre de 2024 se marcan como no seguros en Chrome, ha llegado el momento de hacer un cambio. Sí, los certificados actuales pueden seguir siendo técnicamente válidos, pero vale la pena preguntarse: ¿proporcionan actualmente suficiente protección? Para evitar cualquier pérdida de cobertura, siga estos pasos para iniciar la migración a una nueva CA con el mínimo trastorno:
Paso 1: evalúe su situación actual
Lo primero es lo primero: debe identificar y comprender todos los certificados digitales que utiliza actualmente, especialmente los emitidos por Entrust. El descubrimiento de certificados es un paso extremadamente importante en el proceso general de gestión del ciclo de vida de los certificados, ya que tener una visibilidad completa de todo su inventario de certificados le ayudará a evitar interrupciones.
¿Otro aspecto esencial? Determinar hasta qué punto su organización depende actualmente de las funciones o soluciones de su CA original. Después de todo, la adquisición de nuevos certificados no siempre es un gran problema, pero el ajuste de procesos antiguos (como la gestión automatizada del ciclo de vida de los certificados) puede requerir un poco más de esfuerzo. Una vez que comprenda qué funciones le resultan más valiosas, estará mejor preparado para descubrir funciones similares en otras CA.
Paso 2: elija una nueva autoridad de certificación
Existen múltiples autoridades de certificación entre las que elegir. Investigue para evitar futuros fiascos, como la situación actual con Entrust. Cuando examine varias autoridades de certificación, fíjese bien en sus cualidades y advertencias. Sí, el precio es importante, pero no debe ser la consideración principal. La elección depende más bien de aspectos como:
- Atención al cliente: Tanto si se enfrenta a problemas técnicos como si le preocupa el cumplimiento de la normativa, querrá sentirse seguro de que los expertos de su nueva CA se tomarán el tiempo necesario para responder a sus preguntas y resolver sus dudas. Fíjese bien en las herramientas de asistencia disponibles y en el tiempo de respuesta para confirmar que siempre obtendrá la ayuda que necesita.
- Reputación general: ¿Cuál es la reputación de su posible nuevo CA entre los líderes del sector? En caso de duda, opte por un CA con una reputación sólida. Eche un vistazo a las reseñas, premios y auditorías para comprobar cómo se percibe a su futura CA en todo el ecosistema digital.
- Seguridad y cumplimiento: Dados los problemas actuales con Entrust, está claro que la seguridad debe ser una prioridad con cualquier CA. Esto se verifica mejor revisando las políticas de la CA, con información completa sobre las prácticas criptográficas y la respuesta ante incidentes.
- Capacidades de la plataforma de automatización: Un enfoque automatizado de la gestión del ciclo de vida de los certificados (CLM ) puede mejorar la cobertura, minimizando el esfuerzo manual y reduciendo al mismo tiempo el riesgo de caducidad de los certificados y las interrupciones o tiempos de inactividad asociados. Busque CA que ofrezcan soluciones de CLM sólidas y automatizadas, con plataformas centrales de fácil navegación.
- Integraciones: Dependiendo de sus necesidades de DevOps, puede que le atraigan las CA con sólidas integraciones en su pila tecnológica actual. Mejore la arquitectura de su red y establezca una confianza digital en todo el hardware, software y componentes relevantes. Una plataforma agnóstica de CA como Sectigo debería facilitar la navegación por los requisitos de múltiples proveedores.
Sectigo, una CA de confianza con una excelente reputación, es un recurso excelente para equiparse con certificados SSL/TLS. Mientras navega por esta transición, no dude en explorar los otros certificados digitales y otras soluciones de seguridad que ofrece Sectigo.
Paso 3: planificar la transición
Ha encontrado la CA perfecta para gestionar sus problemas de certificados digitales en el futuro; ahora es el momento de planificar una transición sin problemas. Resista la tentación de eliminar su antigua CA antes de emitir certificados con su nueva CA. Sí, puede que esté ansioso por adoptar la CA de su elección, pero recuerde: es posible obtener certificados de varios proveedores emitidos para un único dominio.
Buenas noticias: los certificados actuales deberían seguir operativos hasta que se desinstalen. A medida que avanza el periodo de transición, puede solicitar nuevos certificados a la CA elegida, que cubran los mismos servidores y dominios. A partir de ahí, puede sustituir los certificados anteriores en el momento oportuno; algunas personas prefieren ocuparse de ellos inmediatamente después de una transición de CA satisfactoria, pero esto también puede llevarse a cabo a medida que estos certificados se acercan a su fecha de caducidad.
Independientemente de cómo decida llevar a cabo la transición, todas las partes afectadas deben comunicar claramente los detalles de este proceso. Esto significa compartir los planes con los equipos de TI, la dirección y otras partes interesadas.
Paso 4: adquirir nuevos certificados
En este punto, debería estar familiarizado no sólo con su inventario de certificados digitales anterior (como se reveló durante el proceso completado en el paso 1), sino también con sus necesidades de certificados SSL/TLS para el futuro. Ahora es el momento de elegir los certificados pertinentes de su nueva CA. Esto requerirá nuevos procesos de validación, pero lo ideal es que su nueva CA le guíe a través de estos pasos críticos.
Paso 5: generar solicitudes de firma de certificado (CSR)
Prepárese para generar una nueva solicitud de firma de certificado (CSR) para cada nuevo certificado SSL. Todas las CSR deben contener información precisa: el nombre legal de su organización, el nombre de dominio completo (FQDN), la división que gestiona el certificado y su localidad. La creación de la CSR dará lugar a la generación de una nueva clave pública: la mitad del par de claves del certificado resultante. Esto constituye la base de la confianza digital y un componente crítico del marco de la Infraestructura de Clave Pública (PKI).
Paso 6: instalar nuevos certificados
Hay muchas formas de instalar certificados digitales. Una vez más, su CA puede guiarle a través de este proceso, aunque mucho depende del tipo de servidor o aplicación utilizada. Este proceso podría implicar la carga de archivos de certificados, la edición de archivos de configuración o la importación y vinculación de certificados. No olvide verificar las instalaciones, comprobando que todos los certificados digitales se aplican correctamente.
Paso 7: supervisar y gestionar
No asuma simplemente que sus certificados digitales seguirán proporcionando siempre la sólida seguridad que desea. La supervisión y gestión activas son cruciales. Las auditorías periódicas y los controles de conformidad son imprescindibles.
Más allá de esto, es esencial mantenerse informado; siga las noticias de fuentes fiables para determinar si se avecinan grandes cambios en el panorama general de la ciberseguridad, el cifrado y la autenticación.
Considere la posibilidad de automatizar la gestión del ciclo de vida de los certificados
El cambio a periodos de validez de 90 días podría estar a la vuelta de la esquina, y nunca es demasiado pronto para prepararse con un enfoque automatizado de las renovaciones de certificados y de la gestión del ciclo de vida de los certificados. Un CLM automatizado puede limitar las cargas administrativas al tiempo que impulsa una mayor eficacia y precisión en todos los aspectos del ciclo de vida de los certificados. Sin soluciones automatizadas, la caducidad de los certificados se convierte en un riesgo mucho mayor.
Sectigo simplifica el cambio a una nueva CA
Confiar en los certificados de Entrust puede que ya no sea factible, pero por suerte, hay otras opciones disponibles. Éste podría ser un buen momento para cambiar a una alternativa de confianza como Sectigo, al tiempo que se adoptan soluciones valiosas como la gestión automatizada del ciclo de vida de los certificados. Prepárese para encontrar una solución antes de la fecha límite impuesta por Google del 12 de noviembre para desconfiar de los certificados de Entrust.
Sectigo Certificate Manager (SCM), una solución de ciclo de vida de certificados agnóstica de CA, podría salvar la brecha mediante la automatización de todos los procesos esenciales de certificados: descubrimiento, inventario, monitoreo, reemplazo, revocación y renovación. Nuestra solución integral le proporcionará una mayor tranquilidad en esta importante transición. Reserve una demo hoy mismo para descubrir SCM en acción.