No hace mucho, los certificados TLS duraban cinco años. Después, poco más de un año (398 días). ¿Y ahora? El sector se enfrenta a una caída radical, con propuestas para reducir la validez de los certificados a sólo 47 días en 2029. No se trata de un "y si..." lejano; los principales navegadores y autoridades de certificación ya han votado a favor de aplicar el cambio.
El tiempo corre y la gestión manual de los certificados no da abasto.
¿A qué se debe este cambio? Una vida más corta significa menos posibilidades de ataque. Eso es bueno para la seguridad. Pero para su equipo, significa que el ritmo de renovaciones está a punto de dispararse. Lo que antes era una tarea que se realizaba una vez al año pronto podría convertirse en una lucha diaria, a menos que se automatice.
Un enfoque gradual y práctico de la automatización de certificados ya no es algo "que está bien tener", sino algo imprescindible para mantener la seguridad, la conformidad y la cordura.
Siga leyendo para saber por qué, si su estrategia de certificación no evoluciona, se está quedando atrás.
De la vida más corta a la vida cuántica: Por qué es importante ahora la automatización inteligente
El impulso para acortar la validez de los certificados está motivado por dos realidades: una marea creciente de riesgos relacionados con los certificados en la actualidad y el riesgo criptográfico existencial que plantea la computación cuántica. Extrapolando el estado actual de la computación cuánticapodemos afirmar que se acerca el "día Q", el día en que los ordenadores cuánticos hagan redundantes todos los algoritmos y métodos de cifrado actuales.
El NIST ya ha declarado una fecha de caducidad para los algoritmos tradicionales a partir de 2030. Independientemente de cuándo veamos el compromiso cuántico de algoritmos avanzados como RSA, el cambio hacia la criptografía post-cuántica (PQC) debe comenzar ahora. Ese cambio comienza con la automatización de los certificados.
A medida que la vida útil de los certificados se reduce a 200, 100 y, finalmente, 47 días, las organizaciones deben pasar de las actualizaciones periódicas a la renovación continua. Este ritmo operativo reflejará las futuras exigencias de PQC, que requerirá una frecuente agilidad criptográfica a medida que se introduzcan, prueben e implanten nuevos algoritmos.
La gestión del ciclo de vida de los certificados debe seguir el ritmo de su emisión
Casi todas las organizaciones han experimentado una situación en la que un sitio web o una aplicación críticos se ven afectados por errores o se caen por completo debido a un certificado TLS caducado.
Es cierto que algunas organizaciones han empezado a adoptar duraciones de certificados más cortas con su PKI privada interna, ya que pretenden mejorar la seguridad y automatizar los procesos, así como mantener el ritmo de emisión de certificados en cargas de trabajo de corta duración en contenedores y en la nube.
Sin embargoLos plazos de sustitución obligatoria supondrán un cambio importante. Con las próximas reducciones escalonadas, que prevén 200 días para 2026, 100 días para 2027 y 47 días para 2029, la presión para automatizar pronto y con frecuencia es enorme.
La realidad es que pocas organizaciones confían en sus procesos de gestión del ciclo de vida de los certificados.
certificadosTLS pueden provocar cortes o interrupciones del servicio incluso en las organizaciones más centradas en la seguridad. Esto sucede porque el diseño de los sistemas empresariales modernos es más complejo y descentralizado de lo que muchas soluciones PKI heredadas pueden manejar. Por lo general, las organizaciones que confían en la PKI no suelen dar prioridad a este reto.
Los equipos de PKI, que a menudo tienen otras responsabilidades de seguridad, tienen poca capacidad para la tarea crítica de la gestión del ciclo de vida de los certificados, y los entornos de TI en expansión dificultan cada vez más su trabajo. En muchas aplicaciones empresariales, como los servidores Exchange y SQL, los certificados no pueden instalarse automáticamente para empezar.
La solución a largo plazo es avanzar hacia la automatización de la implantación y revocación de certificados con tecnologías basadas en una combinación de enfoques, incluidos protocolos como ACME, API y herramientas de automatización basadas o no en agentes proporcionadas por soluciones de automatización del ciclo de vida de los certificados. El seguimiento manual, las hojas de cálculo y las colas de tickets no serán escalables cuando los certificados caduquen cada pocas semanas en lugar de cada pocos meses. Sin embargo, el statu quo actual de la importancia de la gestión de certificados en la mayoría de las organizaciones significa que la adopción de la automatización no es la norma por defecto.
Una organización puede utilizar miles, si no decenas de miles, de certificados para proteger aplicaciones internas y externas, mientras que los equipos de PKI a menudo confían en hojas de cálculo para realizar un seguimiento del estado de la PKI, añadiendo certificados a las colas de tickets cuando se acerca su caducidad. El resultado es que la mayoría de las organizaciones no disponen de personal o recursos suficientes para mantener sus PKI de forma segura.
Unas ventanas de validez de certificados más cortas implican un traspaso más frecuente entre equipos, un trabajo más sensible al tiempo y un mayor riesgo de falta de comunicación.
Cada renovación no realizada se convierte en una interrupción potencial, y cada interrupción tiene consecuencias posteriores. El resultado es un mayor riesgo administrativo. Las interrupciones causan 400.000 millones de dólares en daños a los ingresos anuales. Una renovación más frecuente de los certificados aumenta las probabilidades de fallo, y más organizaciones se verán sorprendidas con la guardia baja.
El tiempo de inactividad como consecuencia de certificados caducados tiene un efecto directo en el balance final: la preparación es clave.
Por ejemplo, la brevedad de la vida útil crea retos únicos para los sistemas heredados y de encapsulamiento en el aire. Estos sistemas, habituales en tecnología operativa (OT), infraestructuras críticas, defensa y otros sectores regulados, a menudo dependen de actualizaciones manuales de certificados debido a la estricta segmentación de la red y a las políticas de seguridad.
Esto era factible cuando sólo era necesario rotar los certificados una vez al año. Con una restricción de 90 o 47 días, la implantación manual se vuelve rápidamente insostenible para los sistemas protegidos que requieren acceso físico, actualizaciones fuera de banda y coordinación entre equipos y cadenas de herramientas desconectados.
La tecnología CLM es fundamental para proteger eficazmente los certificados
Dado que ninguna organización va a reducir, o debería reducir, el uso de certificados, la mejor respuesta es implantar una combinación de tecnologías de centralización y automatización.
La gestión del ciclo de vida de los certificadosCLM) se ha revelado como una solución probada para desarrollar capacidades SSL rápidas y sostenibles en entornos informáticos modernos y distribuidos.
En concreto, CLM aporta cuatro funciones básicas de gestión de PKI que ayudan a las organizaciones a gestionar de forma segura ciclos de vida de certificados más cortos:
- Descubrimiento. Herramientas CLM automatizan el descubrimiento de certificados y clasifican el entorno PKI de una organización. Incluso en entornos complejos con problemas heredados o más de un proveedor de CA, con CLM se puede obtener rápidamente una imagen actualizada de la situación de la PKI.
- Centralización. CLM centraliza los datos de gestión de PKI. Los equipos de TI de organizaciones con varios proveedores de CA pueden realizar un seguimiento de todos sus certificados activos y ver las fechas de caducidad próximas y futuras, el estado de los certificados y las posibles vulnerabilidades en tiempo real. Esto ayuda a eliminar el riesgo de certificados perdidos, olvidados o comprometidos a medida que se acortan los ciclos de caducidad.
- Renovación y emisión automatizadas de certificados. Las soluciones CLM pueden automatizar todo el ciclo de vida de los certificados en la mayoría de los sistemas con la combinación adecuada de funciones. Desde la emisión hasta el aprovisionamiento, los flujos de trabajo automatizados ayudan a garantizar que la gran mayoría de los certificados se renueven mucho antes de su caducidad, minimizando el tiempo de inactividad y los errores.
- Aplicación automatizada de políticas de seguridad. Con CLM, las organizaciones pueden aplicar políticas de seguridad en todos sus certificados. Esto incluye asegurarse de que sólo se utilizan algoritmos criptográficos seguros, de que sólo las CA de confianza pueden emitir certificados y de que los certificados no gestionados se marcan y se corrigen.
Gestión escalable de certificados
La gestión manual del ciclo de vida de los certificados puede funcionar hasta cierto punto, pero a medida que la vida útil de los certificados se acorta, muy pocas organizaciones pueden permitirse el riesgo administrativo que generan los procesos manuales.
La única respuesta sostenible es avanzar hacia la automatización por defecto. Con renovaciones cada 47 días, los flujos de trabajo tradicionales no dan abasto.
Tanto si una organización tiene cientos como decenas de miles de certificados, una plataforma CLM puede garantizar la detección, emisión y revocación fiables y seguras de certificados sin añadir carga de trabajo adicional. Estos cambios se hacen eco de la gran transformación que se avecina con la criptografía post-cuántica. La capacidad de rotar continuamente los certificados hoy es la base de la agilidad criptográfica del mañana.
KeyfactorAutomatización del ciclo de vida de los certificados permite a los equipos más pequeños gestionar certificados en múltiples dominios, dispositivos y entornos. A medida que los plazos de los certificados se reducen y las demandas criptográficas crecen, la automatización no es algo agradable de tener, es una misión crítica.
