SSL/TLS certificados emitidos por autoridades de certificación (CA) de confianza, ya sean públicas o privadas, se utilizan para autenticar un único dominio en sitios web de cara al público. Las organizaciones con un puñado de dominios y subdominios públicos tendrían que emitir y gestionar un número igual de certificados digitales, lo que aumentaría la complejidad de la gestión del ciclo de vida de los certificados. La buena noticia es que existe una solución para eludir esta carga.
Los certificados comodín prometen simplicidad, pero ¿son la solución a todas nuestras plegarias?
TLS certificados sirven para muchos fines. Principalmente, permiten sesiones cifradas entre los clientes y los sitios web y demuestran que el sitio no es un impostor malintencionado. Una buena práctica de seguridad es renovar los pares de claves con frecuencia, lo que debería ocurrir cada vez que se obtiene un nuevo certificado.
Desde 2005, el Foro CA/B ha establecido las normas sobre cómo deben emitirse, gestionarse y validarse los certificados TLS . Esta organización voluntaria está formada por dos grupos:
- Autoridades de certificación (CA ) - como IdenTrust, DigiCert y GoDaddy;
- Desarrolladores de navegadores, como Google, Apple, Microsoft y Mozilla.
Los navegantes y las AC suelen debatir y votar las propuestas de normas hasta llegar a un acuerdo mayoritario, y entonces todos los miembros aplican la norma definitiva.
A pesar de la decisión del Foro CA/B de no limitar la vida útil de los certificados a un año, Apple tomó en febrero la decisión unilateral de limitar a 398 días, a partir del 1 de septiembre, la vida útil de los certificados aceptados en TLS .
Google y Mozilla se suman a la decisión de Apple
Chrome se une a Apple en la limitación de los certificados públicos de TLS a 398 días a partir del 1 de septiembre.
- Dean Coclin (@chosensecurity) 10 de junio de 2020
Parece que los navegadores han ganado este asalto. El 9 de julio de 2020, el blog de seguridad de Mozilla publicó que también reducirá la vida útil de los certificados TLS a 398 días. Así, a partir del 1 de septiembre de 2020, Mozilla, Google y Apple ya no confiarán en ningún certificado recién emitido con una vida útil superior a 398 días.
Ahora la atención se centra en Microsoft, que se espera que decida sobre el asunto en breve. Hay que tener en cuenta, sin embargo, que Microsoft Edge utiliza Chromium como motor del navegador.
En cualquier caso, los principales proveedores de CA públicas se han adaptado rápidamente y ya no ofrecen certificados públicos de dos años en TLS . Al fin y al cabo, no tienen otra opción, ya que la gran mayoría de los usuarios de Internet optan por los navegadores Chrome y Safari.
Mozilla ha expresado su convencimiento de que este cambio es crucial para mantener una web segura, ya que:
- Promueve una mayor agilidad criptográfica, ya que los certificados vulnerables se eliminarán automáticamente en menos tiempo.
- Limita la vulnerabilidad de un sitio web a las intrusiones, ya que las claves de cifrado privadas se verán obligadas a actualizarse periódicamente.
- En el caso de los certificados robados de TLS , la cantidad de tiempo que un actor de amenazas puede utilizar estaría limitada por una validez de un año.
- Evita que los proveedores de alojamiento o terceros sigan utilizando los certificados incluso después de que un servicio web haya cambiado de proveedor o ya no utilice activamente el certificado.
Es cierto, una clave comprometida podría permitir a un atacante interceptar comunicaciones seguras y/o suplantar la identidad de un sitio web hasta que caduque el certificado TLS . Sin embargo, los suscriptores de certificados olvidan con frecuencia cómo o cuándo sustituirlos, lo que provoca interrupciones del servicio por caducidad inesperada.
Y aunque el objetivo es que todo el mundo esté más seguro, si su proceso de gestión interna no aprovecha la automatización de certificados, su empresa puede ser menos segura y más propensa a sufrir interrupciones. Si sigue utilizando procesos manuales (por ejemplo, hojas de cálculo) para gestionar estos certificados, su carga de trabajo prácticamente se habrá duplicado de la noche a la mañana. Estos aumentos de la carga de trabajo también crean más oportunidades para la configuración incorrecta de esos certificados.
Los certificados caducados son un gran problema
Cada año cuestan a las empresas millones de dólares debido a las interrupciones del servicio. Además, una mayor frecuencia de avisos de certificado caducado puede hacer que los visitantes de la web se sientan más cómodos obviando los mensajes de error.
Además, la significativa reducción del periodo de validez dará lugar a una emisión más frecuente de certificados. Esto dará lugar a aumentos sustanciales de las tasas anuales para los consumidores de certificados debido al incremento de los costes para las empresas que mantienen los certificados (especialmente en el caso de los certificados OV y EV).
Estos son sobre todo los efectos a largo plazo que traerá este cambio, pero las CA, los propietarios de sitios web e incluso los usuarios finales podrían verse afectados inmediatamente después de que se produzca el cambio del 1 de septiembre.
Para usuarios finales
Esto significa que algunos sitios web y aplicaciones pueden dejar de funcionar como se esperaba en las aplicaciones de Apple, Google y Mozilla si las empresas que están detrás de ellos no están preparadas para gestionar una renovación más frecuente de los certificados para mantener sus servicios en funcionamiento.
Para empresas
En el futuro, su proveedor de CA ya no ofrecerá certificados públicos de dos años TLS . Si no se prepara para ciclos de vida de certificados más cortos, los visitantes de su web se encontrarán con un mensaje de error, lo que tendrá un impacto inmediato en su marca y sus ingresos.
Mozilla Firefox - mensaje de sitio web inseguro
Google Chrome: mensaje de sitio web inseguro
Apple Safari - mensaje de sitio web inseguro
¿Es necesario sustituir los certificados de dos años de TLS por certificados de un año?
Este cambio se aplica únicamente a los nuevos certificados TLS emitidos a partir del 1 de septiembre de 2020. Los certificados emitidos anteriormente con una vida útil de dos años no se verán afectados y podrá seguir utilizándolos hasta su fecha de caducidad original. Sin embargo, los certificados emitidos después del 1 de septiembre de 2020 tendrán una validez máxima de un año.
¿Qué significa esto para los propietarios de sitios web seguros en TLS ?
Esto conllevará un aumento de la carga administrativa, ya que los administradores de los sitios web tendrán que vigilar más de cerca las fechas de renovación, pues los certificados caducarán con más frecuencia. Para las empresas que alojan numerosos sitios web, esto puede suponer un grave problema hasta que se implanten o modifiquen procedimientos automatizados.
Buenas noticias
Podrá seguir adquiriendo planes de suscripción plurianuales. Las autoridades de certificación (CA) comerciales están poniendo en marcha este tipo de planes para que sus clientes puedan seguir beneficiándose de los descuentos plurianuales tras los cambios del 1 de septiembre. Básicamente, cuantos más años se contraten, mayor será el descuento por año. Esto podría ahorrar costes de certificados a largo plazo; sin embargo, seguirá siendo necesario volver a desplegar los certificados cada año antes de que caduquen.
