Gestión manual o automatizada de certificados

La gestión de certificados X.509 implica los procesos y procedimientos de compra, despliegue, renovación y revocación de certificados en una red de aplicaciones, servidores, sistemas u otras partes de la red conectadas. Prácticamente todos los clientes de navegadores y aplicaciones de servidor comprueban la validez del certificado antes de conectarse al dominio especificado. Cuando un navegador web detecta un certificado caducado, un mensaje avisa al usuario, advirtiéndole de un servidor inseguro.

Algunos navegadores permiten al usuario seguir conectándose al sitio haciendo clic a través del aviso, mientras que los usuarios que se encuentran detrás de un cortafuegos pueden quedar completamente bloqueados. Estas advertencias suelen confundir al internauta medio, haciendo que algunos de ellos se cuestionen la reputación de la empresa que intentan visitar.

La confianza marca la diferencia en el mundo cuando se trata de negocios en línea. La inversión en tecnología de protección del cliente es crucial para el éxito de las transacciones digitales y el alojamiento de un sitio web de comercio electrónico. La aplicación funcional de los certificados SSL y el posicionamiento y uso efectivos de las marcas de confianza son métodos establecidos para el establecimiento de la seguridad del consumidor. En su mayor parte, la norma de seguridad SSL/TLS ofrece los medios para proteger la seguridad de las comunicaciones electrónicas e informar a los consumidores y socios.

En pocas palabras: cuando los usuarios ven el familiar símbolo del candado, confían en que su información sensible y confidencial está protegida.

Aunque la mayoría de los navegadores muestran un mensaje de advertencia cuando encuentran un certificado caducado, esto sólo confunde a los usuarios finales, que acaban dudando de la credibilidad del propio sitio web. Algunas aplicaciones incluso interrumpen bruscamente las conexiones cuando encuentran certificados caducados, lo que tampoco augura nada bueno para la fiabilidad del servicio. Todo esto puede provocar pérdidas de ingresos y, en última instancia, afectar al valor de marca del servicio. Por lo tanto, es crucial implantar una solución automatizada de certificados digitales en su organización.

¿A qué nivel se encuentra su gestión automatizada de certificados? 

Aunque los certificados digitales funcionan de forma fiable cuando se configuran e implantan correctamente, muchas organizaciones no automatizan sus procesos de gestión de certificados. Algunas organizaciones consideran necesario ajustar las mejores prácticas recomendadas por el sector para adaptarse a diferentes casos de uso de PKI dentro de los límites de las normas y políticas de su PKI específica.

Sin embargo, a pesar de que numerosos especialistas en seguridad, como el NIST, han publicado directrices para que las organizaciones automaticen la gestión de certificados con el fin de minimizar los errores humanos y maximizar la eficiencia, sigue siendo bastante habitual ver que algunas organizaciones siguen procesos ad hoc que permiten a los usuarios crear solicitudes de firma de certificados (CSR) y emitir certificados manualmente.

Independientemente del caso de uso, el ciclo de vida del certificado requiere una gestión cuidadosa. A continuación se indican las etapas típicas del ciclo de vida de un certificado digital:

• Solicitud o renovación: la solicitud inicial de un certificado digital firmado o la renovación de un certificado está a punto de caducar.
• Aprobación: aprobación o rechazo de una solicitud en función de la información facilitada.
• Generación y despliegue: generación y distribución de un certificado digital, con los atributos solicitados.
• Utilización y supervisión de la configuración del servidor de certificados, supervisión en tiempo real y elaboración de informes sobre el estado de los certificados y el tiempo hasta su caducidad.d período de uso, o ello.
• Revocación: Un certificado digital puede ser revocado por las siguientes razones:
  • Clave comprometida
  • CA comprometida
  • SSL sustituido
  • Cambios de propietario de dominio
  • Dominio no utilizado

La revocación y renovación de certificados son tareas esenciales en la gestión de certificados. La CA emite un certificado con un periodo de validez limitado. Sin embargo, el certificado puede volverse defectuoso antes de su expiración debido al compromiso de su clave.

En tal caso, es necesario revocar y renovar el certificado antes de que caduque. Otra razón para revocar un certificado antes de que caduque es un cambio en el nombre del usuario, la empresa o cualquier otra información que figure en el certificado.

La revocación de un certificado de este tipo se realiza manual o automáticamente a través de una lista de revocación de certificados. La caducidad o revocación inesperada de un solo certificado puede plantear a una empresa riesgos de seguridad totalmente evitables, pérdida de ingresos y posibles daños a la marca. Cuando un certificado caduca, el proceso de autenticación deja de funcionar porque falla la verificación de los certificados, lo que provoca interrupciones en las aplicaciones o, en circunstancias más extremas, puede provocar cortes en los servicios informáticos.

En un estudio de 2020 patrocinado por Keyfactor, el Ponemon Institute encuestó a 596 profesionales de la informática y la seguridad informática en Estados Unidos y descubrió que el 74% de los encuestados afirmaba que los certificados digitales provocaban interrupciones imprevistas del servicio. Mientras que el 46% de los encuestados cree que la principal prioridad para minimizar el riesgo de las identidades digitales no seguras es conocer la fecha de caducidad.

Otra causa común de caídas del servidor relacionadas con los certificados se debe a errores humanos cometidos al gestionar manualmente los certificados.

Los certificados mal gestionados pueden permitir a los hackers falsificar contenidos o realizar ataques de denegación de servicio, phishing y man-in-the-middle. Para suplantar dominios públicos, aplicaciones y redes de confianza, los atacantes se infiltran en las CA públicas o internas y emiten certificados falsos no autorizados. Ahora, todos los certificados emitidos en la cadena de confianza de esa CA están en peligro y deben retirarse porque ya no tienen integridad verificable.

Cuando las organizaciones en crecimiento empiezan a utilizar enfoques de gestión digital ad hoc y manuales -que suelen variar según el departamento y la función-, el inventario puede convertirse rápidamente en demasiado grande para garantizar la seguridad frente a los riesgos de interrupciones.

Lamentablemente, la propia hoja de cálculo no puede actualizarse automáticamente en función de la nueva información y legislación. No te informará hasta que el certificado caduque. No puede comprobar dos veces si lo que se ha introducido en sus celdas es exacto y está actualizado. Aunque sin duda es mejor que intentar memorizar las fechas de caducidad de los certificados, las hojas de cálculo siguen siendo muy propensas a errores y añaden un riesgo innecesario a la información confidencial de su empresa y sus clientes.

Sus certificados tienen un gran valor. La seguridad de su aplicación o la seguridad de sus datos pueden verse comprometidas en las manos equivocadas. Los procesos digitales manuales y las compras fraudulentas elevan los costes y desencadenan incidentes de seguridad que se convierten en interrupciones costosas, incluso desastrosas.

Del mismo modo, los acontecimientos imprevistos (por ejemplo, el fallo Heartbleed, el acelerado fin de vida del hashing SHA-1) que requieren una rápida sustitución de los certificados es casi imposible de responder al uso de sistemas de gestión descentralizados y manuales.

Las organizaciones son incapaces de reemplazar manualmente un gran número de certificados en respuesta a incidentes criptográficos a gran escala, como compromisos de CA, con prontitud. De forma proactiva, las organizaciones deberían trabajar para automatizar la gestión de certificados siempre que sea posible para la inscripción, instalación, supervisión y sustitución de certificados, o deberían reconsiderar seriamente la justificación para seguir utilizando métodos manuales que pueden causar riesgos de seguridad operativa.

Tradicionalmente utilizados para proteger los recursos de los sistemas empresariales, los certificados digitales se han convertido en un elemento de seguridad esencial de cualquier sitio web. Hoy en día, los certificados son demasiado importantes para gestionarlos de forma ad hoc y manual. Una sólida aplicación de gestión de certificados PKI se ha convertido en un elemento esencial de TI. De hecho, pocos procesos empresariales son tan importantes como una gestión eficaz de los certificados empresariales.

Históricamente, muchas organizaciones han encontrado difícil la transición de métodos manuales a automatizados, aunque el paso a la automatización puede reducir significativamente su trabajo y riesgo. Sin embargo, las nuevas herramientas de automatización (por ejemplo, DevOps) y los protocolos han aumentado los métodos y las opciones mediante los cuales se puede realizar con éxito la gestión automatizada de certificados. En consecuencia, las organizaciones deben definir directrices y políticas claras para la automatización y cuándo está justificado continuar con el control manual debido a limitaciones operativas u organizativas.

Los certificados pueden ser necesarios a lo largo de cada etapa del ciclo de vida de desarrollo, prueba e implantación de la aplicación. Los retrasos en la generación pueden afectar a las actividades posteriores. La gestión centralizada y automatizada de certificados ofrece varias características esenciales:

• Automatización basada en eventos: automatización basada en flujos de trabajo para procesos de varios pasos.
• Certificados de firma de documentos: gestión de certificados utilizados para la firma digital de documentos oficiales.
• Alertas y supervisión: ofrecen visibilidad constante y alertas de caducidad para los grupos de certificados.
• Integración basada en API: ofrece una integración perfecta con el sistema de gestión de vulnerabilidades Rapid7.
• Portal de autoservicio: el personal puede realizar procesos de certificación por sí mismo a través del portal.
• Gestión de certificados de ciclo completo: procesos centralizados de certificados como renovación, revocación, aprovisionamiento, etc.

A continuación, cada certificado se puede importar automáticamente y realizar una copia de seguridad en la solución empresarial líder del sector y totalmente integrada, lo que permite a su organización recuperar datos valiosos cifrados por el usuario original. La importación automática desde un directorio del sistema o un archivo CSV agiliza la distribución de certificados de cliente y ayuda a gestionar los certificados mediante flujos de trabajo personalizados.

La gestión de toda la gama de certificados digitales es una responsabilidad crítica pero difícil. Dado que muchos certificados digitales pueden estar distribuidos por toda una organización, puede resultar difícil realizar un seguimiento manual de la caducidad de los certificados. El seguimiento automatizado de la caducidad de los certificados digitales le ayuda a renovar los certificados de forma proactiva y a reducir la probabilidad de fallos del sitio web y el tiempo de inactividad del servicio causados por certificados digitales no válidos.

La gestión automatizada de certificados se diseñó para reducir significativamente los obstáculos administrativos y los tiempos de despliegue de la seguridad, produciendo mejoras claras e inmediatas en su infraestructura y costes de seguridad. Con la automatización de certificados, puede añadir administradores a la cuenta PKI, cada uno con sus detalles de control de acceso y permisos.

La supervisión automatizada de los registros de eventos es una parte crucial de la gestión de certificados. Muchas claves comprometidas podrían descubrirse a tiempo si las víctimas pusieran en marcha una supervisión y alerta adecuadas de los registros de eventos. Los registros de los administradores deben supervisarse al crear, modificar o eliminar cuentas de usuario u ordenador, grupos de seguridad o grupos de distribución; al renombrar, desactivar o activar una cuenta de usuario u ordenador; o al modificar una contraseña de usuario u ordenador.

La rendición de cuentas es la clave para demostrar a los auditores que los certificados se gestionan en toda la empresa siguiendo las políticas definidas por ésta. La rendición de cuentas de los certificados digitales es esencial para verificar que los procesos relacionados con la certificación digital pueden supervisarse para detectar anomalías. Además, la rendición de cuentas y la supervisión cuantificables pueden utilizarse para medir y notificar los niveles de actividad en comparación con el ciclo de vida y utilizar las tendencias para predecir los niveles de actividad dentro del ciclo de vida.

La respuesta es sencilla: lo antes posible. Mientras que las PYME pueden tener sólo unos pocos certificados que gestionar, las empresas en crecimiento tienen una serie de problemas diferentes. La visibilidad es uno de los principales obstáculos a los que se enfrentan las empresas en crecimiento. Si no puede ver todos sus certificados, no hay forma de sustituirlos antes de que caduquen.

A medida que aumenta la velocidad de los dominios, las aplicaciones, los dispositivos y el uso de certificados, se necesita una forma mejor y más escalable de gestionarlo todo. Y esto no hace más que aumentar a medida que la transformación digital se extiende a proyectos en la nube, la Web y IoT. De ahí que el descubrimiento completo de certificados sea el primer paso hacia cualquier postura de seguridad sólida. Una herramienta de exploración de certificados automatizada identifica y supervisa los certificados falsos mediante la revisión de los registros de actividad de los certificados.

La solución de gestión automática de certificados crea una vista completa de todos los certificados mediante Auto-Discovery, que explora toda la red y descubre cada certificado. Por ejemplo, Keyfactor Certificate Automation ha sido probado y demostrado para escalar incluso en los entornos PKI más dinámicos y exigentes -de 500 a 500M+ certificados- todo ello con una única licencia de suscripción.