Certificados TLS públicos de 90 días
Automatizar antes de que caduquen: tenemos que prepararnos para los certificados de 90 días
Tim Callan, Chief Compliance Officer de Sectigo, nos explica por qué las organizaciones deben actuar de forma proactiva a fin de validar los certificados TLS públicos.
La decisión de Google de reducir el periodo máximo de validez de los certificados públicos TLS (Transport Layer Security), también conocidos como certificados SSL (Secure Sockets Layer), de 398 a 90 días va a convulsionar el mundo de la ciberseguridad.
En su hoja de ruta "Moving Forward, Together", publicada el 3 de marzo de 2023, Google anunció su intención de reducir la validez máxima de los certificados TLS públicos a tan sólo 90 días. Aunque pueda parecer una decisión sin importancia, lo cierto es que se trata de un cambio significativo que requiere la atención de los responsables de las empresas de todo el mundo.
Por el momento, parece que este cambio en el sector se implementará en una votación del CA Browser Forum. Pero si Google decide imponer unilateralmente la reducción de la vida útil de los certificados, convirtiéndola en un requisito de su programa raíz, se transformará de facto en una norma del sector que obligará a todas las autoridades de certificación (CA) públicas comerciales a seguir su ejemplo.
Habida cuenta de que los buscadores tienen autonomía para establecer sus propios requisitos para los programas raíz, esta modificación podría aplicarse incluso sin que exista un acuerdo del CA/B Forum. Al comunicar sus planes, Google ha dado a la industria tiempo suficiente para prepararse de cara al cambio inminente y sus implicaciones.
Pese a que no existe una fecha concreta sobre cuándo Google prevé aplicar el cambio, es probable que el nuevo periodo máximo de validez de 90 días entre en vigor a finales de 2024 como muy tarde. Las organizaciones deben tomar nota de la oportunidad y el tiempo que se les ofrece y prepararse para el cambio.
Certificados digitales: referente en materia de confianza digital
Para entender por qué Google ha decidido dar este paso, es fundamental reconocer la importancia de los certificados SSL/TLS, su ubicuidad y su funcionalidad crítica en todo el panorama digital.
Los certificados digitales garantizan la seguridad y el cifrado de los datos actuales. De forma similar a los pasaportes, los certificados basados en infraestructuras de clave pública sirven como documentos digitales de identidad que contienen la información relativa tanto al software, código, bots, IoT/OT, ordenadores portátiles y dispositivos como a la identidad de sus titulares. Actuando como autenticadores tanto para humanos como para máquinas, estos certificados facilitan una comunicación fluida en el mundo digital.
La criptografía de clave pública es la columna vertebral del mundo digital y garantiza la seguridad de las transacciones comerciales dentro y fuera de las redes empresariales. Estos sistemas criptográficos protegen una gran variedad de sistemas y procesos, desde una impresora doméstica hasta complejos dispositivos IoT en fábricas y sistemas de infraestructuras nacionales críticas.
Los certificados, que funcionan como sello de confianza digital, autentican y verifican el enorme y creciente número de identidades humanas y de máquinas que cada segundo acceden a los ecosistemas informáticos.
La vida útil de los certificados SSL/TLS públicos no ha dejado de reducirse progresivamente en los últimos años, de tres años a dos, luego a uno y ahora Google pretende reducirla aún más, a tan sólo 90 días.
Lo cierto es que 398 días (el plazo máximo actual permitido por los requisitos básicos del CABF y por varios de los principales programas raíz) es mucho tiempo para que un certificado vulnerado pueda seguir existiendo. Y es que, cuanto más tiempo permanezca en vigor un certificado, más probabilidades hay de que se vea comprometido.
90 días: ganar en agilidad
Al implantar una vida útil más limitada para los certificados, se reduce significativamente la posibilidad de que los ciberdelincuentes se aprovechen de certificados obsoletos. Estas situaciones suelen producirse cuando las empresas dejan de operar, se fusionan con otras entidades, transfieren nombres de dominio o se someten a procesos de cambio de marca.
La transición a certificados TLS de 90 días es básica para limitar las oportunidades de explotación de los certificados comprometidos. Esta medida refuerza la integridad de todo el ecosistema y atenúa los riesgos asociados a las interrupciones del servicio y las brechas de seguridad. En definitiva, permite a las organizaciones adaptarse rápidamente al uso de algoritmos resistentes a la tecnología cuántica, salvaguardando sus datos sensibles frente a las posibles amenazas que puedan plantear los ordenadores cuánticos en un futuro.
No obstante, y a pesar de los enormes retos operativos a los que se están enfrentando las empresas, sorprendentemente el 47 % de ellas sigue confiando en métodos manuales para la gestión de certificados. Esta forma de trabajar plantea dificultades en sí misma, ya que es muy susceptible a los errores humanos, que pueden hacer que los certificados caduquen o se configuren de forma incorrecta. Además, el hecho de que la gestión manual sea laboriosa disuade a las organizaciones de supervisar y abordar activamente los certificados caducados o en peligro, lo que aumenta el riesgo de interrupciones del servicio, fallos de seguridad e inobservancia de la normativa y los estándares del sector.
La solución a este problema es obvia: automatizar para garantizar una gestión eficaz de los certificados.
La carga de trabajo en materia de seguridad se va a ver multiplicada por 5
A pesar de la absoluta necesidad de gestionar los certificados de forma eficiente, un sorprendente 47 % de las organizaciones sigue haciéndolo manualmente. Pero con los 90 días de vigencia máxima que Google va a imponer, las organizaciones se va a ver obligadas a renovar y desplegar todos los certificados de sus servidores más de cinco veces al año.
No se trata sólo de un puñado de certificados, sino de cientos o incluso miles. Google ha lanzado un mensaje claro: la gestión manual ya no es práctica y el ecosistema debe permitir la automatización de la gestión de certificados. Ante retos como los certificados falsos, la visibilidad de las decisiones criptográficas y el despliegue individual, sin automatización esa tarea pronto resultará imposible.
La medida de Google no se limita a la depreciación de la vida útil de los certificados SSL/TLS, sino que también va a reducir la reutilización de la validación de dominios. En este punto la situación se complica aún más. Los requisitos básicos actuales permiten hasta 398 días de reutilización, Google quiere proteger a los propietarios de dominios y evitar el uso indebido de certificados basándose en información actualizada.
De este modo, las empresas no sólo tendrán que hacer un seguimiento de sus certificados, sino también volver a verificar sus dominios cada 90 días. La automatización adquiere aquí una importancia aún mayor.
Los equipos de TI han de tomar medidas ya, sin dilación, y adoptar la automatización para la gestión de certificados, utilizando plataformas de gestión del ciclo de vida de los certificados (CLM, Certificate Lifecycle Management) compatibles con las CA. Estas soluciones permiten la detección eficaz de certificados en entornos empresariales, independientemente de la autoridad de certificación emisora. También facilitan notificaciones puntuales de vencimientos inminentes y automatizan el aprovisionamiento y la instalación de certificados de renovación y sustitución. De este modo, se evitan interrupciones y violaciones de la seguridad derivadas del uso o la renovación incorrectos de los certificados.
Con el fin de que este cambio en el sector no suponga una gran amenaza, es imprescindible que las empresas actúen de forma proactiva si quieren salvaguardar sus operaciones mediante la automatización de la gestión de certificados.