Redirecting you to
Click if you are not redirected within 5 seconds
Buscar
USD
Español
Prueba Gratuita
Ponte en Contacto
Entrada de blog jul. 07, 2021

Certificados de AWS vs Certificados de Autoridades Públicas (CA)

Las empresas modernas de hoy en día deben proteger los datos y las aplicaciones que se ejecutan y alojan en la nube mediante Amazon Web Services (AWS). Los certificados digitales basados en la infraestructura de clave pública (PKI), como los certificados SSL/TLS y los certificados de firma de código, son el estándar de referencia para la autenticación y el cifrado de datos y aplicaciones en la nube. Sin embargo, las organizaciones que utilizan AWS pueden elegir entre varias autoridades de certificación (CA) que pueden emitir certificados. Este artículo le ayudará a comprender las diferencias entre los certificados de CA públicos y los proporcionados por Amazon.

Tabla de Contenidos

1. ¿Qué es una autoridad de certificación?
2. Autoridades de certificación públicas frente a privadas
3. ¿Es AWS una CA?
4. ¿Por qué automatizar la gestión de certificados en AWS?

¿Qué es una autoridad de certificación?

Una autoridad de certificación (CA) es una organización que emite certificados digitales que autentican y cifran datos, dispositivos y aplicaciones mediante PKI. Son fundamentales para permitir el uso generalizado de la criptografía de clave pública. Actúan como autoridades de confianza, almacenando y publicando las claves públicas asociadas a las claves privadas correspondientes. Estas autoridades de confianza permiten a los remitentes asegurarse de que están utilizando una clave pública correctamente vinculada a la clave privada del destinatario. Sin ellas, sería posible que alguien se apropiara de la información transmitida y utilizara cualquier información confidencial que encontrara.

Las CA solo emiten certificados a dominios específicos que han enviado una solicitud de firma de certificado (CSR). Una CSR se envía a una autoridad de registro y contiene la clave pública, información de identificación y una firma digital u otra medida de autenticidad. La información de identificación suele ser la organización, la unidad organizativa, el nombre del país, el estado, la localidad y el nombre común. El nombre común suele ser el nombre de dominio o la dirección IP de la ubicación.

Cuando un dominio muestra un certificado emitido por una autoridad de certificación de confianza reconocida por un navegador moderno, como Google Chrome, Mozilla Firefox o Microsoft Edge, se entiende que la conexión es segura.

Las autoridades de certificación públicas de confianza, como Sectigo, son miembros que cumplen con las normas del foro de autoridades de certificación/navegadores, creado exclusivamente para emitir certificados. El CA/Browser Forum es un grupo regulador de autocontrol para las CA, y es responsable de crear y actualizar las normas que rigen el uso, la emisión y la caducidad de los certificados.

Las autoridades de certificación públicas emiten millones de certificados cada año. Estos certificados se utilizan para diversas funciones, entre las que se incluyen la protección de comunicaciones seguras a través de SSL/TLS, firmas digitales, certificados de firma de código y certificados de correo electrónico S/MIME.

Los certificados SSL/TLS permiten específicamente a los navegadores web modernos establecer conexiones cifradas con el protocolo SSL/TLS con servidores web identificándose correctamente. Estos certificados se utilizan con una infraestructura de clave pública (PKI). Las PKI proporcionan métodos para que las personas establezcan la identidad de los demás si ambas confían en la autoridad de certificación utilizada.

Autoridades de certificación públicas frente a privadas

Como se ha mencionado anteriormente, las autoridades de certificación de confianza pública son entidades independientes que han sido designadas como de confianza por los principales navegadores web y siguen las normas y directrices de certificación identificadas por el CA/Browser Forum. Las CA de confianza pública realizan varios pasos antes de emitir el certificado, incluida la validación de la información proporcionada en la CSR, principalmente la información del DNS. Las autoridades de certificación públicas tienen claves criptográficas específicas que utilizan para firmar los certificados que emiten. Estos archivos de claves específicas suelen reconocerse como pertenecientes a una CA de confianza. Esto hace que las comunicaciones se protejan inmediatamente, ya que se sabe que son fiables. Los certificados públicos se utilizan con mayor frecuencia para proteger los puntos finales que requieren comunicación con los usuarios y no suelen utilizarse en entornos internos o de prueba.

Las autoridades de certificación privadas y públicas tienen muchas similitudes. Tienen infraestructuras similares y realizan funciones similares. Sin embargo, mientras que una autoridad de certificación pública emite certificados para entidades en Internet en general, las autoridades de certificación privadas emiten certificados solo para redes privadas. Las autoridades de certificación privadas emiten y validan archivos de certificados que se cargan en una infraestructura de clave pública (PKI) interna en lugar de en un tercero de confianza. Por lo general, se limitan al ámbito de la organización a la que pertenece la red, a menudo grandes organizaciones o entidades.

Las autoridades de certificación públicas emiten certificados que son reconocidos y considerados fiables de forma inmediata por los navegadores y las aplicaciones. Este no es el caso de los certificados digitales emitidos por las privadas. En su lugar, necesitan un administrador que configure específicamente cualquier sistema con el que entre en contacto el certificado para reconocerlo y validarlo.

Además, las CA públicas deben cumplir requisitos estrictos, cumplir con las normas de seguridad impuestas por los proveedores y alcanzar ciertos niveles de transparencia. Si no lo hacen, corren el riesgo de perder su estatus de confianza y la capacidad de que sus certificados sean validados instantáneamente. Estas restricciones no se imponen a las CA privadas. Más bien, los administradores pueden crear sus propias reglas para la emisión de certificados, incluida la información que se necesita en una CSR y que se representa en un certificado.

¿Es AWS una CA?

Amazon Web Services (AWS) es una CA privada y comercial. Al no ser miembro del CA/Browser Forum, actualmente no se considera una autoridad de certificación pública de confianza. Los clientes de AWS pueden implementar certificados de AWS Certificate Manager (ACM) en varios servicios de AWS, incluidos AWS Elastic Load Balancing, Amazon CloudFront, Amazon API Gateway, instancias de Amazon EC2 y otros servicios integrados que se gestionan desde la consola de administración de AWS. Con ACM, puede aprovisionar y gestionar certificados públicos y privados de determinados tipos.

Al implementar certificados de CA privadas y comerciales como ACM, es importante investigar a fondo al emisor, ya que será necesario realizar cambios significativos en su entorno para aceptar correctamente cualquier certificado privado. Además, un administrador debe configurar explícitamente las aplicaciones para que confíen en los nuevos certificados emitidos. Un paso crucial es cargar los archivos de certificados en AWS Identity and Access Manager (IAM).

¿Proporciona AWS certificados SSL?

AWS Certificate Manager (ACM) puede aprovisionar, almacenar y renovar certificados SSL/TLS públicos y privados que cumplen con el estándar X.509. Esto se puede lograr con cualquier servicio de Amazon con el que ACM esté integrado. ACM automatiza la renovación y actualización de los certificados ACM que caducan. Algunas cosas a tener en cuenta sobre los certificados de servidor de AWS:

  • ACM no proporciona certificados de validación extendida ni certificados de validación de organización, solo certificados de validación de dominio.
  • ACM solo proporciona certificados para los protocolos SSL/TLS.
  • ACM no se puede utilizar para el cifrado de correo electrónico.

Un certificado ACM es cualquier certificado digital para un servicio AWS integrado que ha sido emitido directamente por AWS Certificate Manager (ACM). Puede importar certificados de terceros a ACM. Además, puede crear una infraestructura de clave pública dentro de AWS, lo que le permite crear certificados privados internos. Los clientes de AWS pueden utilizar ACM para solicitar y desplegar certificados en varios recursos diferentes de AWS, incluyendo API que utilizan API Gateway, distribuciones de Amazon CloudFront y Elastic Load Balancers.

¿Funcionan los certificados de CA públicos en AWS?

Los certificados de una CA pública, como Sectigo, se pueden implementar en los servicios de AWS utilizando ACM o la plataforma de gestión de certificados de CA, como Sectigo Certificate Manager.

Cabe señalar que los certificados ACM emitidos por Amazon solo están validados por dominio. Por otro lado, los certificados SSL/TLS emitidos por CA de confianza pública se ofrecen con tres niveles de validación.

  • Validación de dominio (DV): la CA verifica si el solicitante tiene derechos sobre el nombre de dominio específico (normalmente mediante verificación por correo electrónico). No se comprueba ninguna información adicional y los certificados DV se pueden emitir en cuestión de minutos.
  • Validación de organización (OV): la CA no solo verifica que el solicitante tiene derechos sobre el nombre de dominio específico, sino que también lleva a cabo investigaciones adicionales sobre la organización del solicitante a un nivel básico. Esta información se muestra en el certificado para aumentar la confianza de los usuarios finales del sitio.
  • Validación extendida (EV): La CA verificará la propiedad de la empresa y los documentos aceptables con respecto a la misma, así como los requisitos de propiedad que debe proporcionar el solicitante. Además de garantizar que el solicitante tiene los derechos sobre el dominio específico, se lleva a cabo una investigación exhaustiva de la empresa y esta información se muestra en el certificado. Además, se muestra un candado seguro en la dirección web del navegador, por lo que el usuario tiene una garantía adicional de que el sitio web es seguro.

¿Por qué automatizar la gestión de certificados en AWS?

La implementación y gestión manual de certificados en entornos AWS, además de en cualquier otro entorno que no sea en la nube, requiere mucho tiempo y puede suponer riesgos innecesarios. Tanto si una empresa implementa un único certificado SSL para un servidor web alojado en AWS como si gestiona millones de certificados en todos sus dispositivos en red e identidades de usuario, el proceso integral de emisión, configuración e implementación de certificados puede llevar horas.

La gestión manual de los certificados también expone a las empresas a un riesgo significativo de que los certificados caducados se pasen por alto y se produzcan lagunas en la propiedad, lo que puede dar lugar a interrupciones repentinas, fallos críticos en los sistemas empresariales y violaciones de la seguridad y ataques.

Los clientes y los usuarios internos confían en que los sistemas empresariales críticos alojados en la nube estén siempre disponibles. Sin embargo, en los últimos años, los certificados caducados han provocado numerosas interrupciones en sitios web y servicios de gran relevancia. El resultado ha sido una pérdida de ingresos de miles de millones de dólares, sanciones contractuales, demandas y el coste incalculable del deterioro de la reputación de la marca y la pérdida de la confianza de los clientes.

Cómo automatizar la gestión de certificados en AWS

Teniendo en cuenta los inconvenientes y las ramificaciones financieras inherentes a la gestión manual de los certificados PKI, el retorno de la inversión en la gestión automatizada de la identidad digital es evidente para los directores de informática y los directores de seguridad. Las organizaciones necesitan una solución automatizada que garantice que los certificados se configuran e implementan correctamente sin intervención humana, tanto en AWS como en todo su ecosistema de TI. La automatización ayuda a reducir el riesgo, pero también ayuda a los departamentos de TI a controlar los costes operativos y a agilizar el tiempo de comercialización de los productos y servicios.

Recientemente, la PKI ha evolucionado para ser aún más versátil. La interoperabilidad, el alto tiempo de actividad y la gobernanza siguen siendo ventajas clave. Pero las soluciones PKI actuales también son funcionalmente capaces de mejorar la administración y la gestión del ciclo de vida de los certificados a través de:

  • Automatización: realización de tareas individuales minimizando los procesos manuales.
  • Coordinación: uso de la automatización para gestionar una amplia cartera de tareas.
  • Escalabilidad: gestión de cientos, miles o incluso millones de certificados.
  • Criptoagilidad: actualización de la fuerza criptográfica y revocación y sustitución rápida de los certificados en riesgo por certificados cuánticos seguros en respuesta a amenazas nuevas o cambiantes.
  • Visibilidad: visualización del estado de los certificados en un único panel para todos los casos de uso.

Aunque ACM proporciona cierto grado de automatización, dada la disparidad de sistemas, aplicaciones y dispositivos que utilizan certificados digitales, los equipos de TI a menudo se encuentran gestionando diferentes servicios de automatización de múltiples proveedores. Esto suele traducirse en una reducción de la eficiencia. Por el contrario, un único panel de control de gestión de certificados que automatiza la detección, la implementación y la gestión del ciclo de vida en todos los casos de uso y plataformas de proveedores ofrece la eficiencia que promete la automatización. Además, los equipos de TI siguen manteniendo el control de las definiciones y reglas de configuración, de modo que los pasos de automatización se realizan correctamente.

Sectigo ofrece soluciones de automatización de la gestión de certificados que permiten a las empresas ser ágiles, eficientes y tener un control total de todos los certificados de su entorno. Sectigo admite la instalación, revocación y renovación automatizadas de certificados SSL/TLS y no SSL a través de protocolos líderes en el sector, API e integraciones de terceros. Además, Sectigo elimina el problema de los límites de volumen de certificados que pueden producirse con las alternativas de código abierto.

En resumen, las soluciones de automatización de Sectigo permiten a su equipo de seguridad realizar fácilmente las siguientes tareas:

  • Aplicar políticas de seguridad criptográfica.
  • Proteger las comunicaciones.
  • Evitar la pérdida de datos personales a través de accesos no autorizados.
  • Preparar los sistemas, las aplicaciones y los dispositivos de toda la empresa para el futuro.

Para obtener más información sobre cómo automatizar la emisión y la gestión de certificados digitales en AWS y en todo su ecosistema de TI, consulte Sectigo Certificate Manager.

¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.

Entradas asociadas:

¿Qué es un certificado X.509 y cómo funciona?

Cómo evitar interrupciones del servicio SSL y renovar certificados