Google exige certificados TLS de 47 días: Por qué la automatización es clave
Google anunció en su hoja de ruta «Moving Forward, Together» la intención de reducir la validez máxima posible de los certificados TLS públicos de 398 días a 47 días, en una futura actualización de la política o en una propuesta de votación de CA/B Forum. Esta reducción a sólo 47 días de validez máxima supondrá cambios importantes para el sector.
La tendencia a la reducción de la vida útil de los certificados es algo que Sectigo predijo ya en 2019. En los últimos años, el plazo máximo para un certificado TLS (también llamado SSL) público ha caído de tres años a dos a uno, y ahora Google ha declarado que tiene la intención de reducir aún más esta vida útil a 47 días.
En este artículo, el equipo de Sectigo repasará: qué significa este anuncio y cómo afectará a la gestión de certificados, así como la importancia de la gestión automatizada de certificados y cómo implementarla.
El anuncio de Google de certificados de 47 días y lo que significa
La afirmación de Google de que aplicará esta medida a través de «una futura actualización de la política o una propuesta de votación del Foro CA/B» es un detalle sutil pero importante que merece la pena destacar. Google parece estar diciendo que si el Foro CA/B decide realizar este cambio en el sector a través de un proceso de votación, estupendo. Sin embargo, Google está dispuesto a forzar unilateralmente este cambio convirtiéndolo en un requisito para el programa raíz de Chrome, lo que lo convertiría en un estándar de facto que todas las CA públicas comerciales tendrían que seguir. Como los navegadores controlan sus propios requisitos del programa raíz, este cambio puede producirse incluso en ausencia de un mandato del Foro CA/B.
Google está telegrafiando deliberadamente sus intenciones para dar tiempo a la industria y a los consumidores de certificados a prepararse para la inevitable transición y las implicaciones que conlleva.
Para los CISO y sus equipos, la implicación más obvia es cómo abordarán la gestión de certificados digitales con una vida útil más corta. La gestión manual de certificados se convertirá en una práctica insostenible, y será esencial empezar a pensar en el cambio a la automatización.
Los riesgos de la renovación manual de certificados
Aunque técnicamente las empresas pueden seguir gestionando manualmente los certificados digitales con una vida útil máxima de 47 días, la renovación y el despliegue manuales serán cada vez más arriesgados. Los riesgos de la gestión manual incluyen:
- Propensión a errores: Más renovaciones significa más posibilidades de error humano, ya que esta tarea tendrá que realizarse cuatro veces al año frente a una.
- Requiere recursos considerables: Los certificados de 47 días no sólo suponen cuatro veces más riesgo de error humano, sino también cuatro veces más trabajo del que dedican actualmente los equipos de seguridad informática a esta tarea ya de por sí ardua.
- No es escalable: a medida que las organizaciones crezcan y tengan que gestionar más certificados digitales, la emisión y renovación manual de certificados será menos sostenible.
- Posibles interrupciones y violaciones de datos: el uso incorrecto de las renovaciones de certificados digitales puede provocar interrupciones de SSL/TLS y violaciones de datos.
- Riesgos generales de ciberseguridad: Los actores maliciosos siempre están creando técnicas más sofisticadas para explotar las debilidades en la ciberseguridad de una organización, lo que puede conducir a graves ramificaciones. ¿Una gran vulnerabilidad que no tardarán en explotar? La falta de cifrado que proporciona un certificado SSL.Para agravar estos riesgos está el hecho de que, para casi todas las organizaciones, el número de certificados digitales que deben gestionar sigue creciendo rápidamente. No se trata de un certificado del que haya que ocuparse cuatro veces al año, sino de docenas, cientos o miles de certificados digitales. .
Si a esto añadimos las dificultades existentes, como los certificados fraudulentos, la visibilidad de las decisiones criptográficas y el despliegue individual, la gestión manual se vuelve inviable. No es un trabajo que pueda hacerse manualmente con facilidad hoy en día y, en el futuro, las organizaciones que sigan adoptando un enfoque manual pagarán el precio casi con toda seguridad.
El camino a seguir está claro: es hora de automatizar.
La importancia de la gestión automatizada del ciclo de vida de los certificados
Los malos actores suelen ir un paso por delante y estarán preparados para aprovecharse de las organizaciones que no se replanteen su enfoque de la gestión de identidades humanas y automáticas a raíz del acortamiento de la vida útil de los certificados digitales. Ahora es el momento de actuar. En última instancia, las organizaciones deben contar con una solución integral para automatizar los ciclos de vida de los certificados digitales, a escala.
Para reducir el riesgo, la automatización es crucial. No sólo se está reduciendo la vida útil de los certificados, sino también la duración de la reutilización de la validación de dominios. En la actualidad, los requisitos básicos permiten la reutilización de datos o documentos relacionados con validaciones de dominio completadas previamente durante un máximo de 398 días. Google también ha manifestado su intención de reducir los periodos de reutilización de la validación de dominios a 47 días, afirmando que «una validación de dominios más oportuna protegerá mejor a los propietarios de dominios, al tiempo que reducirá la posibilidad de que una CA se base por error en información antigua, obsoleta o no válida, lo que puede dar lugar a una emisión incorrecta de certificados y a posibles abusos». Se trata de un detalle importante, ya que las empresas no sólo deben gestionar los certificados digitales de sus sistemas, sino también volver a verificar sus dominios cada 47 días.
Cómo automatizar la emisión y renovación de certificados
Con las herramientas y la plataforma adecuadas, la automatización de la gestión de certificados es un proceso sencillo. En primer lugar, es fundamental encontrar una plataforma de gestión del ciclo de vida de los certificados (CLM) agnóstica para las CA. Este tipo de solución de gestión de certificados ayuda a descubrir certificados digitales en vastos entornos empresariales, con independencia de la autoridad de certificación emisora, notificando los vencimientos inminentes de los certificados y aprovisionando e instalando automáticamente certificados de renovación y sustitución. De este modo, ayudan a evitar interrupciones e infracciones debidas al uso o renovación incorrectos de los certificados digitales, al tiempo que facilitan a su equipo el seguimiento de los ciclos de vida en una ubicación centralizada.
Adaptación a una vida útil más corta de los certificados
Al hacer el cambio a la automatización, es importante utilizar un CLM de una autoridad de certificación de confianza. Aquí es donde entra Sectigo. Sectigo Certificate Manager (SCM) es el CLM agnóstico de CA más robusto del mercado. SCM está construido para automatizar los ciclos de vida de todos los certificados digitales, independientemente de su origen. SCM ofrece:
- Compatibilidad con el protocolo Automated Certificate Management Environment (ACME).
- Compatibilidad con el protocolo SCEP (Secure Certificate Enrollment Protocol).
- Soporte para Enrollment Over Secure Transport (EST).
- Una herramienta de automatización propia que permite la gestión de certificados para diversos sistemas, como Apache Tomcat, servidores web Windows IIS y equilibradores de carga F5 Big-IP.
- API REST: En algunos casos, las empresas prefieren integrar aplicaciones más estrechamente con Sectigo, lo que es posible utilizando la API REST de Sectigo.
SCM también se integra con un amplio conjunto de proveedores de tecnología. Los equipos de TI pueden automatizar la emisión y gestión de certificados digitales Sectigo, junto con los de otras CA públicas y privadas como Microsoft Active Directory Certificate Services (ADCS), AWS Cloud Services y Google Cloud Platform (GCP).
Esto se suma a las integraciones con plataformas DevOps populares como Kubernetes, Docker, HashiCorp, y más de una docena de tecnologías líderes incluyendo plataformas líderes de Load Balancer como Amazon, Google, F5, A10 Networks y Kemp, CDNs populares como Akamai y Amazon, e incluso aplicaciones de notificación como Microsoft Teams y Slack.
Vea por qué Sectigo Certificate Manager es el primer y más completo CLM agnóstico de CA en el mercado.
Obtenga más información descargando nuestro seminario web sobre Validez de certificados de 47 días.