Gestión de certificados manual vs. automatizada

La gestión de certificados X.509 implica los procesos y procedimientos para la adquisición, implementación, renovación y revocación de certificados en una red de aplicaciones conectadas, servidores, sistemas u otras partes de la red. Prácticamente todos los clientes de navegador y las aplicaciones de servidor verifican la validez del certificado antes de conectarse al dominio especificado. Cuando un navegador web detecta un certificado caducado, aparece un mensaje que advierte al usuario sobre un servidor inseguro.

Algunos navegadores permiten al usuario continuar conectándose al sitio haciendo clic en la advertencia, mientras que los usuarios detrás de un firewall pueden ser completamente bloqueados. Estas advertencias a menudo confunden al usuario web promedio, lo que lleva a algunos a cuestionar la reputación de la empresa que intentan visitar.

La confianza marca la diferencia en el mundo cuando se trata de negocios en línea. La inversión en tecnología de protección al cliente es crucial para el éxito de las transacciones digitales y el alojamiento de un sitio web de comercio electrónico. La aplicación funcional de certificados SSL y el posicionamiento y uso efectivos de las marcas de confianza son métodos establecidos para el establecimiento de la seguridad del consumidor. En su mayor parte, el estándar de seguridad SSL/TLS ofrece los medios para proteger la seguridad de las comunicaciones electrónicas y para informar a consumidores y socios.

En pocas palabras: cuando los usuarios ven el familiar símbolo del candado, confían en que su información sensible y confidencial está protegida.

Aunque la mayoría de los navegadores web muestran un mensaje de advertencia al encontrar un certificado caducado, esto solo confunde a los usuarios finales, quienes terminan dudando de la credibilidad del propio sitio web. Algunas aplicaciones incluso terminan las conexiones abruptamente cuando encuentran certificados caducados, lo que tampoco augura nada bueno para la fiabilidad del servicio. Todo esto puede provocar una pérdida de ingresos y, en última instancia, afectar el valor de la marca del servicio. Por lo tanto, es crucial implementar una solución automatizada de certificados digitales en su organización.

¿Cuál es el nivel de su gestión automatizada de certificados? 

Si bien los certificados digitales funcionan de manera fiable cuando se configuran e implementan correctamente, muchas organizaciones no automatizan sus procesos de gestión de certificados. Algunas organizaciones consideran necesario ajustar las mejores prácticas recomendadas por la industria para adaptarse a diferentes casos de uso de PKI dentro de los límites de los estándares y políticas de su PKI específica.

Sin embargo, a pesar de que numerosos especialistas en seguridad, como NIST, publican guías para que las organizaciones automaticen la gestión de certificados para minimizar el error humano y maximizar la eficiencia, sigue siendo bastante común ver a algunas organizaciones siguiendo procesos ad hoc que permiten a los usuarios crear solicitudes de firma de certificados (CSR) y emitir certificados manualmente.

Independientemente del caso de uso, el ciclo de vida del certificado requiere una gestión cuidadosa. Las siguientes son las etapas típicas del ciclo de vida de un certificado digital:

• Solicitud o renovación: la solicitud inicial de un certificado digital firmado o la renovación de un certificado que está a punto de caducar.
• Aprobación: la aprobación o el rechazo de una solicitud basada en la información proporcionada.
• Generación e implementación: la generación y distribución de un certificado digital, con los atributos solicitados.
• Uso y monitoreo: la configuración del servidor de certificados, el monitoreo en tiempo real y la elaboración de informes sobre el estado del certificado y el tiempo hasta su caducidad. período de uso, o ello.
• Revocación: Un certificado digital puede ser revocado por las siguientes razones:
  • Clave comprometida
  • CA comprometida
  • SSL reemplazado
  • Cambios en el propietario del dominio
  • Dominio en desuso

La revocación y renovación de certificados son tareas esenciales en la gestión de certificados. La CA emite un certificado con un período de validez limitado. Sin embargo, el certificado puede volverse inválido antes de su caducidad debido al compromiso de su clave.

En tal caso, el certificado debe ser revocado y renovado antes de su caducidad. Otra razón para revocar un certificado antes de su vencimiento es un cambio en el nombre del usuario, la empresa o cualquier otra información contenida en el certificado.

La revocación de dicho certificado se realiza de forma manual o automática a través de una lista de revocación de certificados. La caducidad o revocación inesperada de un solo certificado puede exponer a una empresa a riesgos de seguridad totalmente evitables, pérdida de ingresos y un posible daño a la marca. Cuando un certificado caduca, el proceso de autenticación deja de funcionar porque la verificación de los certificados falla, lo que provoca interrupciones en las aplicaciones o, en circunstancias más extremas, puede llevar a interrupciones de los servicios de TI.

En un estudio de 2020 patrocinado por Keyfactor, el Ponemon Institute encuestó a 596 profesionales de TI y seguridad de TI en los Estados Unidos y encontró que el 74% de los encuestados afirmó que los certificados digitales causaron interrupciones de tiempo de inactividad imprevistas. Mientras que el 46% de los encuestados cree que la máxima prioridad para minimizar el riesgo de identidades digitales no seguras es conocer la fecha de caducidad.

Otra causa común de interrupciones del servidor relacionadas con certificados se debe a errores humanos cometidos durante la gestión manual de los mismos.

Los certificados mal gestionados pueden permitir a los hackers suplantar contenido o realizar ataques de denegación de servicio, phishing y man-in-the-middle. Para suplantar dominios públicos, aplicaciones y redes de confianza, los atacantes se infiltran en CAs públicas o internas y emiten certificados no autorizados. Ahora, todos los certificados emitidos en la cadena de confianza de esas CAs están comprometidos y deben ser retirados porque ya no poseen una integridad verificable.

Cuando las organizaciones en crecimiento comienzan a utilizar enfoques de gestión digital ad hoc y manuales —que suelen variar según el departamento y la función— el inventario puede volverse rápidamente demasiado grande para garantizar la seguridad frente a los riesgos de interrupciones.

Lamentablemente, la propia hoja de cálculo no puede actualizarse automáticamente en función de nueva información y legislación. No le informará hasta que el certificado caduque. No puede verificar que lo introducido en sus celdas sea preciso y esté actualizado. Si bien es ciertamente mejor que intentar memorizar las fechas de caducidad de sus certificados, las hojas de cálculo siguen siendo muy propensas a errores y añaden un riesgo innecesario a la información confidencial de su empresa y de sus clientes.

Sus certificados son de gran valor. La seguridad de su aplicación o la seguridad de sus datos pueden verse comprometidas en manos equivocadas. Los procesos digitales manuales y las adquisiciones no controladas incrementan los costes y desencadenan eventos de seguridad que se convierten en interrupciones costosas, incluso desastrosas.

Del mismo modo, es casi imposible abordar eventos imprevistos (por ejemplo, la vulnerabilidad Heartbleed, el fin de vida útil acelerado del algoritmo de hash SHA-1) que requieren el reemplazo rápido de certificados utilizando sistemas de gestión descentralizados y manuales.

Las organizaciones son incapaces de reemplazar manualmente un gran número de certificados de manera oportuna en respuesta a incidentes criptográficos a gran escala, como compromisos de CA. De forma proactiva, las organizaciones deberían esforzarse por automatizar la gestión de certificados siempre que sea posible para el registro, instalación, supervisión y reemplazo de certificados, o se debería reconsiderar seriamente la justificación para seguir utilizando métodos manuales que puedan generar riesgos de seguridad operativa.

Tradicionalmente utilizados para proteger los recursos de los sistemas empresariales, los certificados digitales se han convertido en un elemento de seguridad esencial para cualquier sitio web. Hoy en día, los certificados son demasiado vitales para ser gestionados de forma manual y ad hoc. Una aplicación robusta de gestión de certificados PKI es ahora un elemento esencial de TI. De hecho, pocos procesos de negocio son tan importantes como una gestión eficaz de certificados empresariales.

Históricamente, muchas organizaciones han encontrado desafiante la transición de métodos manuales a automatizados, aunque el paso a la automatización puede reducir significativamente su carga de trabajo y sus riesgos. Sin embargo, las nuevas herramientas de automatización (por ejemplo, DevOps) y los protocolos han ampliado los métodos y opciones mediante los cuales la gestión automatizada de certificados puede llevarse a cabo con éxito. En consecuencia, las organizaciones deben definir directrices y políticas claras para la automatización y cuándo se justifica el control manual continuo debido a limitaciones operativas u organizativas.

Los certificados pueden ser requeridos en cada etapa del ciclo de vida de desarrollo, prueba e implementación de aplicaciones. Los retrasos en la generación pueden afectar a las actividades posteriores. La gestión centralizada y automatizada de certificados ofrece varias características esenciales:

• Automatización basada en eventos: automatización basada en flujos de trabajo para procesos de varios pasos.
• Certificados de firma de documentos: gestión de certificados utilizados para la firma digital de documentos oficiales.
• Alertas y supervisión: ofrecen visibilidad constante y alertas de caducidad para grupos de certificados.
• Integración basada en API: ofrece una integración perfecta con el sistema de gestión de vulnerabilidades Rapid7.
• Portal de autoservicio: el personal puede realizar los procesos de certificados por sí mismo a través del portal.
• Gestión de certificados de ciclo completo: procesos de certificados centralizados como renovación, revocación, aprovisionamiento y más.

Cada certificado puede importarse y respaldarse automáticamente en la solución empresarial líder en la industria y totalmente integrada, lo que permite a su organización recuperar datos valiosos cifrados por el usuario original. La importación automática desde un directorio del sistema o un archivo CSV agiliza la distribución de certificados de cliente y facilita la gestión de certificados mediante flujos de trabajo personalizados.

La gestión de toda la gama de certificados digitales es una responsabilidad crítica pero desafiante. Dado que muchos certificados digitales pueden estar distribuidos por toda una organización, puede resultar difícil realizar un seguimiento manual de la caducidad de los certificados. El seguimiento automatizado de la caducidad de los certificados digitales le ayuda a renovar los certificados de forma proactiva y a reducir la probabilidad de fallos en sitios web e interrupciones del servicio causadas por certificados digitales no válidos.

La gestión automatizada de certificados se diseñó para reducir significativamente los obstáculos administrativos y los tiempos de implementación de seguridad, generando mejoras claras e inmediatas en su infraestructura de seguridad y en los costes. Con la automatización de certificados, puede añadir administradores a la cuenta PKI, cada uno con sus detalles de control de acceso y permisos.

La supervisión automatizada de los registros de eventos es una parte crucial de la gestión de certificados. Muchas claves comprometidas podrían descubrirse a tiempo si las víctimas implementaran una supervisión y alerta adecuadas de los registros de eventos. Los registros de los administradores deben supervisarse para detectar la creación, modificación o eliminación de cuentas de usuario o de equipo, grupos de seguridad o grupos de distribución; al renombrar, deshabilitar o activar una cuenta de usuario o de equipo; o al modificar una contraseña de usuario o de equipo.

La rendición de cuentas es clave para demostrar a los auditores que los certificados se gestionan en toda la empresa siguiendo las políticas definidas por esta. La rendición de cuentas de los certificados digitales es esencial para verificar que los procesos relacionados con la certificación digital pueden supervisarse para detectar anomalías. Además, la rendición de cuentas y la supervisión cuantificables pueden utilizarse para medir e informar los niveles de actividad en comparación con el ciclo de vida y para utilizar las tendencias para predecir los niveles de actividad dentro del ciclo de vida.

La respuesta sencilla es: lo antes posible. Si bien las pymes pueden tener solo unos pocos certificados que gestionar, las empresas en crecimiento se enfrentan a un conjunto diferente de problemas. La visibilidad es uno de los principales obstáculos a los que se enfrentan las empresas en crecimiento. Si no puede ver todos sus certificados, no hay forma de que pueda reemplazarlos antes de que caduquen.

A medida que la velocidad de los dominios, las aplicaciones, los dispositivos y el uso de certificados sigue aumentando, necesita una forma mejor y escalable de gestionarlo todo. Y esto se acentúa aún más a medida que la transformación digital se extiende a proyectos en la nube, la web y el IoT. Por lo tanto, el descubrimiento completo de certificados es el primer paso hacia cualquier postura de seguridad sólida. Una herramienta automatizada de escaneo de certificados identifica y monitorea los certificados no autorizados mediante la revisión de los registros de actividad de los certificados.

La solución de gestión automatizada de certificados crea una vista completa de todos los certificados a través de Auto-Discovery, que escanea toda la red y descubre cada certificado. Por ejemplo, Keyfactor Certificate Automation ha sido probada y ha demostrado su capacidad de escalabilidad incluso en los entornos PKI más dinámicos y exigentes —desde 500 hasta más de 500 millones de certificados—, todo con una única licencia de suscripción.