En agosto de 2019, Google presentó CA / Browser (CA / B) Discussion board Ballot SC22 para reducir los períodos de validez del certificado Transportation Layer Safety (TLS) a un año. Después de mucha discusión y miles de comentarios, en su mayoría de oposición, la votación falló y la vida útil máxima de los certificados se mantuvo en dos años. O eso pensamos. Aunque los certificados más cortos mejoran la seguridad del ecosistema, y la esperanza de vida es cada vez más corta, el consenso basic en ese momento period que los certificados más cortos supondrían una carga excesiva para los equipos de TI con exceso de trabajo.
Como grupo voluntario, CA / B carece de autoridad para obligar a las organizaciones a aceptar unilateralmente tales resultados. De hecho, el poder authentic reside en proveedores como Apple y Google. Entonces, en la reunión del Foro CA / B en febrero pasado, Apple anunció que a partir del 1 de septiembre, el navegador Safari no confiará en ningún certificado de sitio world-wide-web nuevo válido por más de 398 días y, en su lugar, será rechazado.
Al implementar la política en Safari, que se utiliza en aproximadamente mil millones de dispositivos y computadoras en todo el mundo, Apple estableció efectivamente el estándar para la industria. Desde entonces, Google y Mozilla se han unido a Apple en limitar los certificados TLS públicos a 398 días, también a partir del 1 de septiembre.
Nos guste o no, la validez más corta del certificado llegó para quedarse. Y lo más possible es que los diversos poderes que se están realizando aún no hayan terminado. De hecho, podríamos estar en medio de una transición importante hacia períodos de vida cada vez más cortos, lo que tiene implicaciones significativas en la forma en que las organizaciones de TI administran los certificados en toda la empresa.
El problema se agrava con el aumento espectacular del número de dispositivos y aplicaciones que requieren certificados. La mayoría de las aplicaciones y sistemas dependen de certificados digitales para conexiones seguras, lo que hace que la tarea de administrar certificados desde la solicitud inicial hasta la renovación sea mucho más difícil.
Una combustión lenta
De muchas maneras, los gerentes de TI se han adormecido con una falsa sensación de complacencia. Al principio, la duración de los certificados de varios años period la norma y los volúmenes de certificados eran manejables. Los sistemas Windows tienen la capacidad de crear y renovar certificados automáticamente, aunque esto se limita a almacenar el certificado en el endpoint. Cada nuevo certificado aún requiere configuración handbook con una aplicación en muchos casos. Esto era algo aceptable cuando los certificados tenían una validez de dos o más años.
Cuando surgían excepciones como un sistema Linux o Mac que no formaba parte de la PKI empresarial basada en Microsoft, se manejaban de forma puntual. Por defecto, esto llevó a la creación de procesos manuales. Dichos procesos se justificaron fácilmente diciendo que los certificados se podían rastrear fácilmente mediante una hoja de cálculo, y dado que los números eran pequeños y las renovaciones de certificados se realizaban con años de diferencia, no valía la pena el esfuerzo de obtener un producto para resolver el problema cuando la solución existente fue suficiente.
Incluso cuando el volumen era pequeño, la gestión de certificados X.509 mediante métodos manuales nunca fue una buena concept. La gente comete errores. Los certificados se olvidan. Los períodos de vencimiento se hicieron tan largos (para evitar el olvido de los certificados vencidos) que la organización se expuso a posibles brechas de seguridad. Además, las organizaciones tienden a subestimar la cantidad de atención y alimentación necesarias para gestionar los certificados. Un proceso de emisión manual por sí solo puede llevar de tres a seis horas. Debe generar un par de claves, crear una solicitud de firma de certificado (CSR), enviarla a una autoridad de certificación (CA), esperar a que un administrador de infraestructura de clave pública (PKI) emita un certificado, descargar el certificado, configurar y actualizar el aplicación que utiliza el servicio y, finalmente, verifique que esté activa. También ayuda si tiene una sólida formación en PKI para no cometer errores en el camino.
Debido al esfuerzo y el tiempo que implican los procesos manuales cuando las organizaciones obtienen aproximadamente 100 certificados X.509, generalmente es hora de agregar un experto en PKI dedicado a tiempo completo para administrar los certificados, si es que se puede encontrar dicho recurso. Dada la escasez constante de habilidades en ciberseguridad, encontrar el recurso adecuado nunca es un hecho. Cuando los puestos clave quedan sin cubrir, la carga de la gestión de certificados se distribuye entre varios miembros del equipo que ya tienen placas llenas, lo que ejerce presión sobre los presupuestos y genera espacio para errores e interrupciones. Y cuando los certificados deben renovarse, la carga de trabajo asociada con la renovación en un sistema de gestión de certificados basado en hojas de cálculo es enorme. Dado todo esto, no es de extrañar que los miembros de CA / B se opusieran a una vida útil más corta de los certificados.
Zanahoria y palo
Si la esperanza de vida de los certificados es más corta, entonces el paso a un sistema de gestión de certificados (CMS) totalmente automatizado es la zanahoria. (Nota del editor: la empresa del autor es una de las que ofrecen CMS). Cuando se utiliza un CMS para crear un certificado, tiene todos los datos que necesita no solo para monitorear el vencimiento del certificado, sino también para proporcionar automáticamente un certificado de reemplazo sin intervención. Esto libera a su equipo de seguridad informática del tedio de procesar largas hojas de cálculo para que puedan realizar más tareas de valor agregado. También elimina aproximadamente el 90% de los problemas relacionados con los certificados.
Como medida provisional, algunas organizaciones pueden optar por un sistema de alerta y monitoreo (MAS) económico o de código abierto para rastrear los certificados que no cumplen con los requisitos o que están a punto de vencer. A menudo creen que un MAS será más rápido y económico de implementar que implementar un CMS. Si bien algunos CMS pueden ser increíblemente complejos, costosos y lentos de instalar, existen ofertas de CMS disponibles que se pueden instalar fácilmente y extender la PKI basada en Microsoft para incluir certificados que se instalan en sistemas y aplicaciones fuera del ámbito de Energetic Listing. , como dispositivos Linux o MacOS.
A pesar de la carga adicional impuesta al private de TI, la vida útil de los certificados es más corta y seguirá acortándose. En un futuro no muy lejano, es posible que veamos la vida útil de los certificados de tan solo 30 días simplemente a través de las acciones de fuerzas externas. Para evitar imponer cargas irracionales a la TI a medida que estos cambios se vuelven reales, las organizaciones necesitan una visibilidad completa de las fechas de vencimiento de los certificados junto con una automatización integral en toda su infraestructura criptográfica. Como analista de Gartner, David Mahdi escribe, ahora es el momento de «invertir en las personas, los procesos y la tecnología para ayudar a abordar la gestión de certificados y evitar tiempos de inactividad y posibles daños a la marca».
Mike Cooper es fundador y director ejecutivo de Revocent, Inc., y tiene más de 30 años de experiencia en desarrollo, TI y gestión en pequeñas empresas emergentes de Fortune 500. Ha fundado más de cinco empresas de tecnología y consumo y fue director de TI en otras tres. Inauguración. Pasó cuatro … Ver biografía completa
Lectura recomendada:
Más información
