Establecer los periodos de validez óptimos de la Infraestructura de Clave Pública (PKI) para los certificados puede resultar desalentador y complejo.
Dado que las implicaciones para la seguridad de la red y la eficiencia operativa son significativas, las organizaciones a menudo se encuentran atrapadas en un tira y afloja:
- Si fija un periodo de validez demasiado largo, corre el riesgo de encontrarse con problemas de conformidad o de tener certificados obsoletos que ya no cumplen las normas de seguridad.
- Si es demasiado corto, la carga administrativa se dispara y aumenta la probabilidad de interrupciones y cortes.
La elección del periodo de validez adecuado depende de varios factores, como el tipo de certificado, su caso de uso y las mejores prácticas de seguridad. En este artículo, le ofrecemos nuestro enfoque recomendado para navegar por las decisiones de PKI y evitar las trampas relacionadas con los certificados.
Fijar el periodo de validez adecuado - Qué hay que tener en cuenta
Seleccionar el periodo de validez adecuado para los certificados es relativamente sencillo. Simplemente inicie sesión en la consola de gestión o interfaz de administración de su Autoridad de Certificación (CA). Vaya a la configuración de plantillas o perfiles de certificados. A continuación, establezca el período de validez predeterminado para cada tipo de certificado. La forma de determinar cuál debe ser el periodo de validez se basa en varias consideraciones estratégicas:
- Equilibrio entre seguridad y vida útil
- Compromiso entre fuerza de la clave y coste computacional
- Adaptación de los períodos a los tipos de certificado
Longitud de la clave frente a recursos informáticos
Las longitudes de clave más largas son más seguras, pero conllevan una contrapartida en términos de recursos computacionales necesarios. Esto es especialmente importante en entornos con recursos restringidos y potencia de procesamiento limitada, como los dispositivos IoT .
Tomemos, por ejemplo, el cifrado RSA: Una clave de 2048 bits exige mucha más potencia de cálculo que una de 1024 bits. El aumento de los recursos necesarios puede causar problemas de latencia que dificulten o incluso impidan el funcionamiento eficiente de aplicaciones o dispositivos en tiempo real.
Como alternativa, algunos algoritmos asimétricos mitigan estas cargas computacionales. La criptografía de curva elíptica (ECC) garantiza una seguridad comparable con longitudes de clave más cortas que RSA. La eficiencia añadida equilibra las exigencias de seguridad con el rendimiento operativo sin comprometer la funcionalidad del sistema. ECC es una opción especialmente apta para entornos en los que se prioriza el procesamiento rápido y la eficiencia.
Diferentes tipos de certificados, diferentes periodos de validez
La exposición y el uso de sus certificados dictan cuáles deben ser sus periodos de validez. SSL/TLS , que constituyen la base de la seguridad en Internet, suelen tener periodos de validez más cortos; de hecho, Google ha recomendado que la vida útil de los certificados se reduzca a 90 días. Al mantener el periodo relativamente corto, también se limita el tiempo de exposición al que podría aprovecharse un certificado comprometido.
Por otro lado, los certificados de firma de código, que suelen utilizarse para autenticar software y están menos expuestos a la interacción pública directa, suelen tener periodos de validez más largos, de 3 a 5 años. El periodo ampliado tiene sentido en este caso por el perfil de riesgo reducido; no están expuestos directamente a amenazas continuas como los certificados de cara al público.
Por último, los certificados internos, utilizados para servidores y aplicaciones internas, ofrecen la mayor flexibilidad. El periodo de validez de estos certificados debe ajustarse en función de sus políticas de seguridad y su tolerancia al riesgo operativo.
Buenas prácticas en materia de revocación
La revocación de certificados también es necesaria para mantener la seguridad de su PKI. He aquí algunas prácticas específicas que le ayudarán en este proceso:
Gestión de la caducidad de los certificados
Cuando se sustituye un certificado que está a punto de caducar, no es necesario revocarlo antes de tiempo. Es más práctico permitir que los certificados antiguo y nuevo coexistan durante el periodo de solapamiento. Una vez que el certificado antiguo expira de forma natural y pierde su validez, el nuevo sigue siendo válido y operativo, lo que mitiga las interrupciones del servicio. Esta práctica ofrece una transición fluida al tiempo que mantiene una cobertura de seguridad continua sin necesidad de intervención manual en el punto de caducidad.
Respuesta a certificados comprometidos
Si un certificado se ve comprometido, se utiliza indebidamente, está mal configurado o se ha producido un cambio significativo en la situación del titular del certificado (como el cese de la relación laboral), es necesaria una revocación activa. La revocación inmediata de estos certificados anula cualquier confianza previamente establecida por los certificados comprometidos y evita que sean explotados por usuarios no autorizados.
Utilización de listas de revocación de certificados (CRL)
Las listas de revocación de certificados (CRL) ayudan a gestionar la revocación. Cuando un certificado necesita ser revocado, su número de serie se añade a una CRL, que es un archivo mantenido, actualizado y publicado regularmente por la Autoridad de Certificación (CA). Las CRL proporcionan un registro de todos los certificados revocados junto con sus fechas de revocación. Los sistemas que necesitan verificar la validez de un certificado pueden consultar estas listas para evitar aceptar un certificado revocado, lo que mejora la seguridad general.
Implantación del protocolo de estado de certificados en línea (OCSP)
El Protocolo de Estado de Certificados en Línea (OCSP) también puede gestionar comprobaciones de revocación. A diferencia de las CRL que requieren descarga y comprobación de listas, OCSP garantiza comprobaciones de estado en tiempo real sin tener que manejar grandes archivos CRL. Este método reduce la latencia y la sobrecarga asociadas a las descargas de CRL tradicionales, lo que resulta especialmente útil para entornos que requieren una verificación puntual del estado de los certificados.
Hacer hincapié en la revocación y reemisión masivas
Los escenarios en los que varios certificados se ven comprometidos pueden requerir una revocación y reemisión masivas. Esta tarea puede gestionarse con una herramienta de gestión del ciclo de vida de los certificados, que facilita la rápida revocación de los certificados afectados junto con la reemisión oportuna de otros nuevos.
Documentación y ampliación mediante automatización
A medida que las organizaciones gestionan más certificados con periodos de validez más cortos, la automatización se hace necesaria para una renovación eficaz. Los métodos de seguimiento manual, como las hojas de cálculo, son demasiado propensos a errores y cada vez menos realistas a medida que aumentan la escala y la frecuencia de las renovaciones.
La documentación exhaustiva es igualmente importante, tanto si los procesos son manuales como automatizados a través de una herramienta de gestión del ciclo de vida de los certificados (CLM).
Todos los certificados deben documentarse meticulosamente, ya que basta con que caduque uno para que se produzcan cortes e interrupciones.
Este proceso de documentación es especialmente difícil en entornos en los que equipos como DevOps son responsables de la gestión de sus certificados y ya han elegido sus propias herramientas. Se necesita una documentación exhaustiva de todos los equipos y herramientas para evitar fallos en el seguimiento de los certificados y mantener la continuidad operativa de la organización.
A medida que la gestión de certificados se vuelve más avanzada y los actores de amenazas evolucionan sus tácticas, recomendamos ceñirse a lo siguiente:
- Cumpla siempre las mejores prácticas de validez de certificados creíbles
- Adopte plenamente la automatización de la gestión de certificados en toda su organización
- Mantener una documentación exhaustiva
El futuro de la validez de los certificados y las normas de seguridad
A medida que aumenta el número de incidentes de ciberseguridad, también lo hace la tendencia a reducir los periodos de validez de los certificados.
Técnicamente, las organizaciones pueden fijar los periodos de validez que consideren oportunos.
Sin embargo, las mejores prácticas suelen estar influidas por sistemas de terceros. Los navegadores web, en particular, llevan la delantera en este sentido, marcando activamente los certificados con periodos cuestionables y aplicando las prácticas de seguridad derivadas del Foro CA/Browser.
Dado que estos sistemas de uso generalizado vienen acompañados de sus propias normas de seguridad, acaban empujando al sector hacia periodos de validez más cortos. Se espera que este cambio continúe a medida que las organizaciones sean más conscientes de la necesidad de mantenerse al día con las mejores prácticas de seguridad.
Combinados, estos pasos cruciales no sólo evitarán posibles interrupciones, sino que también mejorarán la gestión de certificados en entornos de TI cada vez más complejos. Para reforzar aún más su postura de seguridad y agilizar las operaciones, considere las soluciones integrales de gestión de certificados de KeyFactor.
