Problemas de PKI: 3 Desafíos comunes en PKI y Gestión de Certificados

Si vives en el mundo de la infraestructura de clave pública (PKI), eres una especie rara.

A pesar de su importancia en la estrategia IAM (es decir, asegurar las conexiones máquina a máquina con identidades únicas), la PKI es a menudo malinterpretada. Unas pocas empresas tienen experiencia interna, pero para la mayoría es más bien una "patata caliente" que se pasa a cualquiera que sea lo suficientemente valiente como para asumirla. Entonces, ¿a quién piden consejo estos "administradores de PKI"?

Lo ha adivinado, Internet, y resulta que Reddit es un punto caliente para las preguntas relacionadas con PKI. En este blog, buscamos en las profundidades de Reddit para descubrir algunas "historias desde las trincheras" y dar algunos consejos prácticos sobre 3 errores comunes que vemos en PKI y la gestión de certificados, y cómo evitarlos.

Las implantaciones de PKI son longevas, entre 15 y 20 años normalmente. El problema es que los entornos PKI creados hace años no se diseñaron teniendo en cuenta la infraestructura informática moderna.

Los servicios de certificación de Active Directory (también conocidos como Microsoft CA) pueden haber sido una elección fácil entonces, pero el cambio a entornos multi-OS y multi-nube exige más de PKI que simplemente la auto-inscripción. Microsoft CA se puede estirar, pero sólo hasta cierto punto antes de que se convierta en un obstáculo operativo.

Otro problema es que las implantaciones de PKI suelen permanecer inactivas mucho tiempo después de que su creador se haya trasladado a otra empresa o haya asumido un nuevo cargo dentro del negocio. Incluso si se ha diseñado y diseñado correctamente, es muy fácil que las configuraciones se salgan de la política. Una vez que esto ocurre, no hay forma fácil de invertir el rumbo.

"PKI es una de esas cosas fáciles de hacer, pero igual de fácil de hacer mal. Y si no te das cuenta a tiempo de que está mal, es un auténtico coñazo arreglarlo"

"Sí, nuestra CA fue bombardeada hace unas semanas y estamos en proceso de repararla. Tiempos divertidos".

Lección aprendida: La cuestión es que gestionar PKI es una maratón, no un sprint. También es algo más que CA y certificados. Considere las necesidades de sus diferentes equipos y aplicaciones y determine las capacidades, procesos y personas que necesitará para darles soporte.

Los avances en los protocolos estándar del sector (por ejemplo, ACME, EST y CMP), la escalabilidad de CA y las alternativas de PKI basadas en SaaS pueden ayudar a resolver muchos de los retos que plantea la creación de una PKI adecuada y su mantenimiento a medida que las personas entran y salen de la empresa.

Poner en orden su PKI es una cosa, pero ¿cómo puede hacer un seguimiento de todos los certificados que ha emitido? ¿Y los certificados emitidos por otros equipos de la organización?

Una combinación de hojas de cálculo Excel, recordatorios de calendario o secuencias de comandos PowerShell es un enfoque habitual, pero siempre hay un certificado que se te escapa. ¿Dónde está instalado? ¿De quién es? ¿Sigue en la empresa?

Se convierte en un juego interminable de "whack-a-mole". No importa cuántas herramientas de supervisión o filas y columnas redactes, los certificados caducados salen inesperadamente de la nada. Justo cuando pensaba que lo tenía todo bajo control, vuelve a ocurrir. Una interrupción afecta a su entorno de producción. Ha caducado otro certificado no rastreado, y su trabajo consiste en localizarlo y solucionarlo.

"G@&%$!# CERTIFICADOS QUE EXPIRAN AAAAAAAARRRGGGHHH En serio, ¿por qué no pueden no expirar nunca? Cada g%#$@#! cosa parece necesitar mil de ellos y siempre caducan antes de que puedas cogerlos".

Lección aprendida: No son los certificados que conoces los que causan dolores de cabeza. Es ese certificado que no viste. Ya sabes... ese certificado que un administrador instaló en ese equilibrador de carga el año pasado. Sabe dónde está, ¿verdad?

Para obtener un inventario completo y preciso, necesita una visibilidad total de (1) las bases de datos de la CA, (2) los puntos finales de SSL/TLS en la red y (3) los almacenes de claves y certificados. Si no tienes visibilidad desde la CA hasta el almacén de certificados, es muy difícil detectar cambios inesperados.

Aunque cuente con expertos en PKI, los usuarios de certificados no son expertos. Cometen errores e ignoran las políticas. Los ingenieros y desarrolladores también están ocupados, pero su atención se centra en ofrecer nuevas funciones y mantener las cosas en funcionamiento, no en gestionar certificados.

La gente es, en su mayoría, terrible en todo lo que sólo tiene que hacer una vez cada dos por tres, como instalar un certificado. Puede que lo instalen una vez, juren que lo han resuelto, tal vez incluso lo documenten, y luego sigan adelante.

Pasa un año y, de repente, se olvidan de cómo lo hicieron. Así que cuando reciben una notificación sobre un certificado a punto de caducar, lo renuevan y lo instalan en un servidor. Hecho, ¿verdad? Unos días más tarde, hay otro apagón. Resulta que se olvidaron de vincularlo a la aplicación correcta.

"Nunca querría trabajar con certs como para que me llamaran "el tío de los certs". Cada año, cuando tengo que renovar unos cuantos, me entran ganas de coger un tenedor y sacarme los ojos".

"Me ENCANTA renovar certificados. Nunca lo ha dicho nadie".

Lección aprendida: Si es responsable de PKI, mantener el ritmo de solicitudes de certificados puede parecer imposible. Por otro lado, los usuarios de certificados suelen sentirse frustrados por los procesos manuales de renovación e instalación de certificados en sus máquinas o aplicaciones.

Baje el tenedor. El uso de herramientas de automatización, incluidos los nuevos protocolos estándar, las herramientas de open-source y las soluciones de automatización del ciclo de vida de los certificados, puede reducir las horas de tareas manuales relacionadas con los certificados y el riesgo de error humano que conllevan.

Si está experimentando uno o más de estos "problemas de PKI", no está solo. Por eso hemos recopilado un eBook sobre "7 razones por las que los equipos fracasan en PKI y gestión de certificados".

En el interior, arrojamos luz sobre los altibajos de un día en la vida de un "administrador de ICP" y compartimos las lecciones de aquellos que han tomado Reddit para desahogarse sobre todas sus frustraciones. Esperamos que disfrutes tanto como aprendas de sus palabras.