¿Qué es la autoinscripción de certificados y por qué es importante?

En cualquier empresa hay decenas de miles, si no cientos de miles, de certificados digitales en uso para proteger cosas como los servidores web mediante la autenticación de dispositivos y el cifrado de datos. A esta escala, puede parecer una batalla interminable inventariar y hacer un seguimiento de cada certificado. Debido a los limitados recursos de TI, muchas organizaciones optan por reducir el alcance de los certificados que gestionan en lugar de asumir la tarea de protegerlo todo. Los certificados emitidos manualmente acaparan toda la atención (es decir, los certificados SSL/TLS ), mientras que los certificados de inscripción automática en Active Directory (AD) se pasan por alto con facilidad.

Si no está familiarizado con la autoinscripción, se trata de una función de los Servicios de certificación de Active Directory (ADCS) habilitada por la directiva de grupo (GPO), que permite a los usuarios y dispositivos inscribirse para obtener certificados. En la mayoría de los casos, no es necesaria la interacción del usuario.

La autoinscripción automatiza la emisión de certificados al almacén de certificados de Microsoft en PC y servidores Windows (para profundizar en la autoinscripción, consulte este blog sobre Consejos para la emisión automática de certificados). Por ejemplo, Internet Information Services (IIS) y Exchange Server utilizan el almacén de certificados de Microsoft. También permite que los certificados se renueven y actualicen automáticamente. Sencillo, ¿verdad?

En un mundo perfecto, los equipos de TI y seguridad responsables de la infraestructura de clave pública (PKI) nunca tendrían que preocuparse por la autoinscripción de certificados. Pero la realidad es que estos certificados pueden provocar brechas de seguridad considerables o interrupciones perjudiciales si no se supervisan adecuadamente a lo largo de su ciclo de vida.

Todos los certificados caducan. Supervisar la inscripción automática significa mirar más allá de todas las renovaciones de certificados realizadas con éxito para localizar las que pueden fallar pronto. Imagine por un momento que tiene 10.000 estaciones de trabajo, cada una con un certificado de cliente, y que un puñado de ellas no se ha renovado dentro del umbral de renovación definido en su GPO. Encontrar y sustituir estos certificados antes de que caduquen puede ser muy parecido a encontrar una aguja en un pajar, especialmente si no utiliza una plataforma de automatización del ciclo de vida de los certificados.

Con la creciente presión a la que están sometidos los equipos de TI hoy en día, no es de extrañar que los profesionales de TI y seguridad a veces ignoren los problemas si no los ven de inmediato. Sin embargo, estos problemas a menudo empeoran con el tiempo si se pasan por alto, lo que conduce a problemas más graves en el futuro. He aquí tres razones por las que la autoinscripción de certificados debe formar parte de su estrategia general de PKI.

A medida que evolucionan las normas criptográficas, existe una necesidad constante de auditar los certificados emitidos e identificar los que no se ajustan a las directivas o utilizan claves o algoritmos obsoletos. Su organización cuenta con que usted sea proactivo y preventivo. Por ello, debe ser capaz de informar sobre el perfil de seguridad de todo su entorno de certificados, lo que incluye, por supuesto, los certificados autoinscritos. Por ejemplo, un administrador de AD podría emitir certificados autoinscritos de 1048 bits que aún están dentro de su período de validez, incluso si la plantilla actual se cambia a 2048 bits. Tener la capacidad de identificar y reemitir rápidamente estos certificados no conformes en bloque puede evitar situaciones perjudiciales que requieran remediación.

Las políticas de grupo dirigen la emisión y el uso de los certificados inscritos automáticamente, lo que requiere cambios y actualizaciones regulares a lo largo del tiempo. Dado que estos cambios se realizan manualmente, los errores y descuidos no son infrecuentes. En un entorno PKI de gran volumen, un pequeño error de configuración puede provocar un problema a gran escala. Las plantillas de certificados pueden ser fácilmente mal configuradas dejándole con miles de certificados que localizar, revocar y reemitir a través de su red.

Sin las herramientas adecuadas para supervisar su Microsoft CA, una política mal configurada puede dar lugar a una emisión excesiva de certificados o, lo que es peor, a certificados que no cumplen sus políticas de seguridad. En algunos casos, hemos visto certificados de usuario inscritos automáticamente a los que se ha concedido un período de validez superior al aceptable para su organización. Otras veces, hemos visto problemas más graves, como permitir la exportación de claves privadas (un gran problema de seguridad). Aquí es donde el establecimiento de umbrales de emisión en su Microsoft CA y la supervisión continua de su entorno de certificados puede ayudarle a adelantarse a los certificados fraudulentos o no conformes que pueden causar estragos en su entorno.

Los certificados de inscripción automática a veces no se renuevan, lo que puede ser difícil de detectar, es decir, hasta que el usuario final se ve afectado. Dependiendo de su despliegue, el impacto de un certificado caducado puede variar desde un inconveniente menor para un solo usuario a una interrupción generalizada o de misión crítica de la aplicación. En cualquier caso, provoca interrupciones innecesarias de la productividad y, por lo general, cierto tiempo de inactividad para solucionarlo.

No todas las organizaciones se dedican a salvar vidas. Pero para las que sí, un certificado caducado puede significar la diferencia entre la vida y la muerte. Tomemos el ejemplo de la atención sanitaria y de un equipo quirúrgico que necesita acceso continuo a sus puestos de trabajo en el quirófano. Los cirujanos no pueden arriesgarse a perder el acceso a información médica crítica durante los procedimientos quirúrgicos simplemente porque un certificado de la máquina no se haya renovado. Aquí es donde las herramientas de supervisión pueden proporcionar alertas sobre los próximos vencimientos y evitar tiempos de inactividad que podrían afectar a la vida del paciente.

Obtenga más información sobre la automatización de certificados aquí.