Navegadores para aplicar períodos de vida de certificado más cortos: …


Apple, Google y Mozilla acortarán la vida útil de los certificados TLS en una medida preparada para ayudar a la seguridad pero causar problemas operativos.

El 1 de septiembre, los navegadores y dispositivos de Apple, Google y Mozilla mostrarán errores para los nuevos certificados TLS con una vida útil excellent a 398 días. La medida, si bien es beneficiosa para la seguridad, hace retroceder a las autoridades de certificación (CA) y puede resultar un dolor de cabeza operativo para las empresas.

La vida útil de los certificados SSL / TLS se ha reducido drásticamente en los últimos 10 años. Hace poco más de una década, los registradores de dominios vendieron certificados TLS válidos para ocho a 10 años. El Foro de Navegadores de la Autoridad de Certificación (CA / Browser Forum), un grupo de AC, impuso un límite de cinco años en 2011. Esto se redujo a tres años en 2015 y a dos años en 2018.

Históricamente, estos cambios se realizaron en colaboración entre los fabricantes de navegadores y las AC, con las dos partes debatiendo las reglas y los cambios antes de votar e implementarlos, hasta que se emitió una boleta que proponía un año de validez votado abajo por CAs en una reunión de CA / Browser Discussion board. Después de esto, Apple rompió los procesos estándar y eligió individualmente imponer límites de 398 días en Safari.

Apple tomó su decisión público en febrero y confirmó que este cambio solo afectará a los certificados de servidor TLS emitidos por las CA raíz el 1 de septiembre o después. Los certificados emitidos antes de ese momento no se verán afectados tampoco lo harán las CA raíz agregadas por el usuario o agregadas por el administrador. Mozilla y Google han expresado planes para implementar una regla very similar en sus navegadores a partir del 1 de septiembre.

El cambio tendrá consecuencias: Apple dice que las conexiones a los servidores TLS que violen sus nuevos requisitos fallarán, lo que puede causar fallas en la crimson y las aplicaciones y evitar que se carguen los sitios website. Google advierte que los certificados con una antigüedad top-quality a 398 días serán rechazados con un mistake y tratados como extraviados. Apple recomienda que se emitan nuevos certificados con una validez de 397 días.

Los fabricantes de navegadores han argumentado durante mucho tiempo que la vida útil más corta de TLS es mejor para la seguridad del navegador porque reducen el marco de tiempo en el que los atacantes pueden comprometer o duplicar un certificado, lo cual es crítico para proteger el tráfico hacia y desde los sitios internet. Un ataque exitoso le daría a alguien «las llaves del reino», dice Lamont Orange, CISO en Netskope. A medida que los atacantes buscan moverse más arriba en la cadena alimentaria, dice, esto es precisamente lo que quieren.

«Esto es mejor que el nombre de usuario y la contraseña de muchas maneras», dice Orange, sobre este nivel de compromiso. Las credenciales pueden otorgar acceso a un sistema que podría permitir el movimiento lateral en todo el entorno. El acceso a un certificado podría permitir a un atacante realizar actividades mucho más nefastas: controlar las propiedades net, acceder a computadoras de escritorio y portátiles, o encriptar comunicaciones.

«Como mal actor, abro caminos que puedo usar para obtener ganancias monetarias, o para interrumpir el sistema y ser una molestia, o simplemente causar frustración en las diferentes compañías en torno a la seguridad de su infraestructura y propiedades net», explica.

Acortar la vida útil de los certificados TLS requerirá que las empresas los roten con frecuencia, por lo que para cuando un atacante descubra cómo copiar uno, ya no es válido. El cambio reducirá la superficie de ataque y reducirá el tiempo de permanencia, protegiendo a las organizaciones del compromiso.

En teoría, suena como un beneficio. En la práctica, es probable que las empresas tengan dificultades para mantenerse al día con los desafíos de renovar certificados y cambiar las claves privadas utilizadas para autenticarlos.

Rotación de certificados TLS: más fácil decirlo que hacerlo
El cambio a vidas más cortas tendrá un costo operativo.

«En common, acortar la vida útil es realmente bueno para el ecosistema, no es realmente algo en lo que los clientes piensen», dice Dean Coclin, director senior de desarrollo de negocios en DigiCert y ex presidente del Foro CA / Browser. Ahora, dice, tendrán que preocuparse más a menudo.

Estas renovaciones se pueden hacer con herramientas automatizadas sin embargo, muchas empresas continúan haciendo esto manualmente, y las empresas más grandes pueden ser responsables de renovar miles de certificados. Para los administradores, es un dolor de cabeza operativo. Si no logran mantenerse al día, los visitantes de su sitio web en ciertos navegadores verán una advertencia de que el sitio no es seguro, lo que para muchos es una gran señal de alerta.

«Cuando nos fijamos en los aspectos operativos de la misma, puede ser bastante difícil», dice Orange. «Como un profesional que tiene que lidiar con esto … tiene que haber mucha planificación que incluya cómo migrar estos certificados anualmente, aproximadamente, y luego comprender la taxonomía de las aplicaciones, o la taxonomía del sitio website, para comprender lo que potencialmente podría romperse «.

Añadió que no había mucha directriz sobre cómo usar los certificados cuando se hicieron populares, por lo que muchas organizaciones y profesionales usaron un «certificado comodín» o un certificado de clave pública en la raíz de la jerarquía de certificados que se puede usar con subdominios múltiples Esto facilitó la obtención de más activos, pero aumentó el riesgo si uno estaba en peligro.

Ahora se trata de principios de arquitectura: las empresas deben decidir si necesitan volver a diseñar su uso de certificados para que no sea tan difícil. Los proveedores de servicios quieren asegurarse de que estén simplificando cuando sea posible, para que no causen inadvertidamente la falta de disponibilidad del sistema.

Las preocupaciones se extienden más allá de los sitios internet a las aplicaciones website, que pueden necesitar ser refactorizadas luego de este cambio, continúa Orange. A medida que cambian las versiones de TLS, es posible que algunas aplicaciones no puedan comunicarse en versiones más nuevas. Las empresas que confían en las aplicaciones basadas en la Website pueden notar una falta de funcionalidad o encontrarse con más errores si sus certificados no se actualizan a tiempo.

«A algunos propietarios de sitios world wide web les resulta difícil el proceso de asegurar su sitio», dice Robin Wilton, director de Internet Trust para Internet Culture. «La instalación del certificado aún no es fácil, y es difícil llevar a cabo un proceso complejo que solo debe realizarse cada dos o tres años».

Página siguiente: Cómo puede prepararse su organización

Kelly Sheridan es la Editora de private de Darkish Examining, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance plan & Technological innovation, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Anterior

1 de 2

próximo

Más ideas





Enlace a la noticia unique