Hay mucho que aprender de las noticias de la semana pasada sobre la decisión de Google de desconfiar de Entrust para Google Chrome. Cualquier certificado emitido desde las autoridades de certificación raíz (CA) de Entrust después del 31 de octubre de 2024 ya no será de confianza para el navegador Google Chrome.
Según los informes, la decisión de Google de separarse de las autoridades de certificación (CA) públicas de Entrust se debe a un "patrón observado de fallos de cumplimiento, compromisos de mejora incumplidos y ausencia de progresos tangibles y mensurables en respuesta a los informes de incidentes publicados". "patrón observado de fallos de cumplimiento, compromisos de mejora incumplidos y ausencia de avances tangibles y medibles en respuesta a informes de incidentes divulgados públicamente". Se han emitido certificados digitales erróneos, lo que ha tenido consecuencias generales para la seguridad. Aunque desafortunada, la respuesta de Google pretende preservar la integridad de la infraestructura de clave pública (PKI) de la Web. En el mundo cada vez más digital de hoy en día, la PKI es fundamental para proteger la confidencialidad y autenticidad de la comunicación entre los navegadores web y los servidores de contenidos web. PKI es lo que garantiza la confianza digital en nuestro mundo en línea.
¿Qué significa esto para las empresas?
Las empresas que deseen que sus sitios web y aplicaciones de cara al público sean accesibles mediante el navegador Chrome, que representa más del 65% de todos los usuarios de Internet, tendrán que planificar la migración y asegurarse de que los certificados emitidos por Entrust que estén a punto de caducar se renueven y sustituyan por certificados emitidos por otra CA de confianza pública.
¿Qué podemos aprender de esta decisión?
Hay cuatro lecciones principales de la reciente decisión de Google de desconfiar de Entrust.
En primer lugar es la importancia de la agilidad de las CA. Cuando se trata de utilizar CA públicas, siempre existe el riesgo de que una CA revoque certificados o de que los almacenes de confianza de los navegadores web no confíen en ella (esto ha ocurrido varias veces en los últimos años). Para minimizar este riesgo y evitar interrupciones, las empresas deben mantener la capacidad de añadir, cambiar y migrar fácilmente las CA, o tener una estrategia multi-CA.
En segundo lugar es la necesidad crítica de criptoagilidad. Todas las CA cometen errores y los navegadores se ven obligados a tomar la difícil decisión de revocar los certificados. De hecho, esto ha ocurrido varias veces en el último año, como por ejemplo Mozilla desconfianza en las CA públicas Entrust en mayo. Las organizaciones deben ser capaces de gestionar las revocaciones a escala e instalar nuevos certificados en lugar de los antiguos, sin interrumpir las operaciones empresariales.
En tercer lugar, las empresas no deberían poner todos los huevos en la cesta de una CA pública. Las empresas también deben evitar el uso de CA públicas para todo lo que no sean entidades que requieran confianza pública, como sitios web y aplicaciones de cara al público (por ejemplo, para una aplicación móvil que hable con la nube). Con la PKI privada, el cifrado dentro de los servidores y sistemas internos de una organización se despliega para verificar la autenticidad de los usuarios y dispositivos. En este caso, se crean CA privadas para emitir certificados y se gestionan internamente, lo que reduce el riesgo de acceso no autorizado y el compromiso potencial por parte de entidades externas.
En nuestro mundo digital, la confianza lo es todo y la PKI privada permite a las empresas ofrecer a quienes confían en sus CA un mayor grado de confianza.
Cuartoesta situación es una señal de advertencia temprana de lo que está por venir para la criptografía poscuántica (PQC). Sustituir todos los certificados de confianza pública de una CA es una gota de agua en el mar comparado con lo que se necesitará para migrar a algoritmos seguros para el quantum. Esta decisión es un buen recordatorio de que las empresas deben empezar a planificar la transición a los algoritmos PQC lo antes posible para evitar trastornos catastróficos.
¿Cómo puede ayudar Keyfactor ?
Como preparación para el próximo cambio en Chrome, los responsables de TI y seguridad deben evaluar detenidamente su PKI y su entorno de certificados. Las empresas deben actuar con rapidez para identificar y sustituir los certificados afectados, y este es un proceso que no puede hacerse manualmente.
Con Keyfactor Commandlos clientes obtienen la visibilidad y automatización necesarias para realizar la transición a una nueva CA sin problemas. Keyfactor Command ofrece a las empresas una visión de todos sus certificados desde un único panel de control, ayudándoles a identificar y remediar los riesgos rápidamente con un sencillo motor de búsqueda y clic.
Los usuarios también pueden aprovechar Keyfactor Orchestrators y los plugins preconstruidos para automatizar la renovación, el aprovisionamiento y la instalación de certificados con un solo clic o sin ningún clic. Para aquellos que utilizan los certificados digitales de Entrust, las ofertas de Keyfactor's Command proporcionan la flexibilidad necesaria para migrar la PKI y la gestión de certificados sin interrupción de la productividad.
A la hora de prepararse para el PQC, las empresas pueden aprovechar el KeyfactorPQC Lab - un sandbox gratuito basado en SaaS que permite a los equipos generar una CA preparada para PQC y empezar a emitir certificados resistentes a la cuántica en cuestión de minutos. El sandbox ya está disponible en Azure.
Claves para la gestión de certificados en el futuro
La decisión de Google de desconfiar de Entrust es una llamada de atención para las organizaciones. La confianza digital no es estática; siempre está amenazada.
Para seguir siendo resistentes, las empresas necesitan una visibilidad total de todos los certificados, la capacidad de automatizar la sustitución y corrección de certificados a escala y, lo que es más importante, la flexibilidad para añadir, migrar o cambiar de CA, sin causar interrupciones.
Para obtener más información sobre cómo Keyfactor puede ayudar a su organización en esta transición, por favor póngase en contacto aquí.