En cualquier empresa, hay decenas de miles, si no cientos de miles, de certificados digitales en uso para proteger elementos como servidores web mediante la autenticación de dispositivos y el cifrado de datos. A esta escala, puede parecer una batalla interminable inventariar y hacer un seguimiento de cada certificado. Debido a los recursos de TI limitados, muchas organizaciones optan por reducir el alcance de los certificados que gestionan en lugar de asumir la tarea de protegerlo todo. Los certificados emitidos manualmente reciben toda la atención (es decir, los certificados SSL/TLS), mientras que los certificados de inscripción automática de Active Directory (AD) se pasan por alto fácilmente.
Descripción general de la inscripción automática de certificados
Si no está familiarizado con la inscripción automática, es una función de los Servicios de certificados de Active Directory (ADCS) habilitada por la Política de grupo (GPO), que permite a los usuarios y dispositivos inscribirse para obtener certificados. En la mayoría de los casos, no se requiere interacción del usuario.
La inscripción automática automatiza la emisión de certificados al almacén de certificados de Microsoft en PC y servidores Windows (para una inmersión profunda en la inscripción automática, consulte este blog sobre Consejos para la emisión de certificados de inscripción automática). Por ejemplo, Internet Information Services (IIS) y Exchange Server utilizan el almacén de certificados de Microsoft. También permite que los certificados se renueven y actualicen automáticamente. ¿Sencillo, verdad?
Certificados en un pajar
En un mundo ideal, los equipos de TI y seguridad responsables de la infraestructura de clave pública (PKI) nunca tendrían que preocuparse por la inscripción automática de certificados. Pero la realidad es que estos certificados pueden causar considerables brechas de seguridad o interrupciones disruptivas si no se supervisan adecuadamente durante todo su ciclo de vida.
Todos los certificados caducan. Supervisar la inscripción automática significa ir más allá de todas las renovaciones exitosas de certificados para localizar aquellos que podrían fallar pronto. Imagine por un momento que tiene 10.000 estaciones de trabajo, cada una con un certificado de cliente, y un puñado de ellas no se han renovado dentro del umbral de renovación definido en su GPO. Encontrar y reemplazar estos certificados antes de que caduquen puede ser como encontrar una aguja en un pajar, especialmente si no está utilizando una plataforma de automatización del ciclo de vida de los certificados.
Por qué es importante la inscripción automática de certificados
Con la creciente presión sobre los equipos de TI hoy en día, no sorprende que los profesionales de TI y seguridad a veces ignoren los problemas si no ven una dificultad inmediata. Sin embargo, estos problemas a menudo empeoran con el tiempo si se pasan por alto, lo que lleva a problemas más graves en el futuro. Aquí hay tres razones por las que la inscripción automática de certificados debe ser parte de su estrategia general de PKI.
1. Criptoagilidad
A medida que evolucionan los estándares criptográficos, existe una necesidad constante de auditar sus certificados emitidos e identificar aquellos que están fuera de política o que utilizan claves o algoritmos obsoletos. Su organización cuenta con usted para ser proactivo y preventivo. Como tal, debe poder informar sobre el perfil de seguridad de todo su panorama de certificados, que, por supuesto, incluye los certificados de inscripción automática. Por ejemplo, un administrador de AD podría emitir certificados de inscripción automática de 1048 bits que aún estén dentro de su período de validez, incluso si la plantilla actual se cambia a 2048 bits. Tener la capacidad de identificar y reemitir rápidamente estos certificados no conformes en masa puede prevenir situaciones disruptivas que requieran remediación.
2.) Mala configuración
Las políticas de grupo impulsan la emisión y el uso de certificados de inscripción automática, lo que requiere cambios y actualizaciones regulares con el tiempo. Dado que estos cambios se realizan manualmente, los errores y las omisiones no son infrecuentes. En un entorno PKI de alto volumen, una pequeña mala configuración puede dar lugar a un problema a gran escala. Las plantillas de certificados pueden configurarse incorrectamente fácilmente, dejándole con miles de certificados para localizar, revocar y reemitir en toda su red.
Sin las herramientas adecuadas para supervisar su Microsoft CA, una política mal configurada puede llevar a una emisión excesiva de certificados o, peor aún, a certificados que no cumplen con sus políticas de seguridad. En algunos casos, hemos visto certificados de usuario de inscripción automática a los que se les ha concedido un período de validez superior al aceptable por su organización. Otras veces, hemos visto problemas más graves, como permitir la exportación de claves privadas (una gran preocupación de seguridad). Aquí es donde establecer umbrales de emisión en su Microsoft CA y supervisar continuamente su panorama de certificados puede ayudarle a adelantarse a los certificados no autorizados o no conformes que pueden causar estragos en su entorno.
3.) Renovaciones omitidas
Los certificados de inscripción automática a veces no se renuevan, lo que puede ser difícil de detectar, es decir, hasta que el usuario final se ve afectado. Dependiendo de su implementación, el impacto de un certificado caducado puede variar desde una molestia menor para un solo usuario hasta una interrupción generalizada o de una aplicación de misión crítica. De cualquier manera, causa interrupciones innecesarias en la productividad y, generalmente, cierto tiempo de inactividad para solucionarlo.
No todas las organizaciones se dedican a salvar vidas. Pero para aquellas que sí, un certificado caducado podría significar la diferencia entre la vida y la muerte. Tomemos el ejemplo del sector sanitario y un equipo quirúrgico que requiere acceso continuo a sus estaciones de trabajo en el quirófano. Los cirujanos no pueden arriesgarse a perder el acceso a información médica crítica durante los procedimientos quirúrgicos simplemente porque un certificado en la máquina no se renovó. Aquí es donde las herramientas de monitorización pueden proporcionar alertas sobre próximas caducidades y prevenir tiempos de inactividad que podrían afectar la vida del paciente.
Obtenga más información sobre la automatización de certificados aquí.
