Problemas de PKI: 3 Desafíos Comunes en la Gestión de PKI y Certificados

Si usted se desenvuelve en el mundo de la infraestructura de clave pública (PKI), es un profesional poco común.

A pesar de su importancia en la estrategia de IAM (es decir, asegurar las conexiones máquina a máquina con identidades únicas), la PKI a menudo se malinterpreta. Pocas empresas tienen experiencia interna, pero para la mayoría, es más bien una "patata caliente" que se pasa a cualquiera lo suficientemente valiente como para asumirla. Entonces, ¿dónde buscan consejo estos "administradores de PKI"?

Lo ha adivinado, Internet, y resulta que Reddit es un punto de encuentro para preguntas relacionadas con la PKI. En este blog, exploramos las profundidades de Reddit para descubrir algunas "historias desde las trincheras" y ofrecer algunos consejos prácticos sobre 3 errores comunes que observamos en la PKI y la gestión de certificados, y cómo evitarlos.

Las implementaciones de PKI suelen ser de larga duración, normalmente de 15 a 20 años. El problema es que los entornos de PKI establecidos hace años no fueron diseñados pensando en la infraestructura de TI moderna.

Active Directory Certificate Services (Microsoft CA) pudo haber sido una opción sencilla en su momento, pero la transición a entornos multi-OS y multinube exige más de la PKI que solo la inscripción automática. Microsoft CA puede forzarse, pero solo hasta cierto punto antes de convertirse en un obstáculo operativo.

Otro problema es que las implementaciones de PKI suelen permanecer mucho tiempo después de que su creador se haya trasladado a otra empresa o a un nuevo puesto dentro de la misma. Incluso si está diseñada y estructurada correctamente, es demasiado fácil que las configuraciones se desvíen de la política. Una vez que esto sucede, no hay una forma sencilla de revertir el curso.

«La PKI es una de esas cosas que son fáciles de hacer, pero igual de fáciles de hacer mal. Y si no te das cuenta de que está mal a tiempo, es un verdadero dolor de c%& de arreglar»

«Sí, nuestra CA colapsó hace unas semanas y estamos en proceso de repararla. ¡Qué divertido!»

Lección aprendida: La cuestión es que gestionar una PKI es una maratón, no un sprint. También es más que solo CA y certificados. Considere las necesidades de sus diferentes equipos y aplicaciones y determine las capacidades, los procesos y el personal que necesitará para respaldarlo.

Los avances en los protocolos estándar de la industria (p. ej., ACME, EST y CMP), la escalabilidad de la CA y las alternativas de PKI basadas en SaaS pueden ayudar a resolver muchos de los desafíos de establecer una PKI adecuada y mantenerla a medida que el personal entra y sale de la empresa.

Poner en orden su PKI es una cosa, pero ¿cómo lleva un registro de todos esos certificados que ha emitido? ¿Y qué hay de los certificados emitidos por otros equipos de la organización?

Una combinación de hojas de cálculo de Excel, recordatorios de calendario o scripts de PowerShell es un enfoque común, pero siempre hay un certificado que se le escapa. ¿Dónde está instalado? ¿Quién es el propietario? ¿Siguen en la empresa?

Se convierte en un juego interminable de «whack-a-mole». Por muchas herramientas de monitoreo o filas y columnas que elabore, los certificados caducados aparecen inesperadamente. Justo cuando pensaba que lo tenía bajo control, vuelve a ocurrir. Una interrupción afecta a su entorno de producción. Otro certificado no rastreado caducó, y es su trabajo rastrearlo y solucionarlo.

«¡M@&%$!# CERTIFICADOS CADUCANDO AAAAAAAARRRRGGGHHH! En serio, ¿por qué no pueden simplemente no caducar nunca? Cada p%#$@#! cosa parece necesitar mil de ellos y siempre caducan antes de que puedas detectarlos.»

Lección aprendida: No son los certificados que conoce los que causan los dolores de cabeza. Es ese certificado que no vio. Ya sabe… ese certificado que un administrador instaló en ese balanceador de carga el año pasado. Sabe dónde está, ¿verdad?

Para obtener un inventario completo y preciso, necesita visibilidad total de (1) las bases de datos de CA, (2) los endpoints SSL/TLS en la red y (3) los almacenes de claves y certificados. Si no tiene visibilidad desde la CA hasta el almacén de certificados, es realmente difícil detectar cualquier cambio inesperado.

Incluso si cuenta con expertos en PKI en su plantilla, sus usuarios de certificados no son expertos. Cometen errores e ignoran las políticas. Los ingenieros y desarrolladores también están ocupados, pero su enfoque está en entregar nuevas funcionalidades y mantener las cosas en funcionamiento, no en gestionar certificados.

Las personas son, en su mayor parte, absolutamente pésimas en cualquier cosa que solo tienen que hacer de vez en cuando, como instalar un certificado. Pueden instalarlo una vez, jurar que lo tienen resuelto, quizás incluso documentarlo, y luego seguir adelante.

Pasa un año y de repente olvidan cómo lo hicieron. Así que, cuando se les notifica sobre un certificado a punto de caducar, lo renuevan y lo instalan en un servidor. ¿Listo, verdad? Unos días después, hay otra interrupción. Resulta que olvidaron vincularlo a la aplicación correcta.

«Nunca querría trabajar con certificados lo suficiente como para que me llamaran el «chico de los certificados». Cada año, cuando tengo que renovar algunos, me dan ganas de coger un tenedor y sacarme los ojos.»

«ME ENCANTA renovar certificados. Nadie dijo eso nunca.»

Lección aprendida: Si usted es responsable de la PKI, mantenerse al día con las solicitudes de certificados puede parecer imposible. Por otro lado, los usuarios de certificados a menudo se sienten frustrados con los procesos manuales para renovar e instalar certificados en sus máquinas o aplicaciones.

Deje el tenedor. El uso de herramientas de automatización, incluidos nuevos protocolos estándar, herramientas open-source y soluciones de automatización del ciclo de vida de los certificados, puede reducir horas de tareas manuales relacionadas con certificados y reducir el riesgo de error humano que conlleva.

Si experimenta uno o más de estos «problemas de PKI», no está solo. Por eso hemos elaborado un eBook sobre «7 razones por las que los equipos fallan en la gestión de PKI y certificados».

En este documento, analizamos los desafíos y éxitos de un día en la vida de un “administrador de PKI” y compartimos las lecciones de aquellos que han recurrido a Reddit para expresar sus frustraciones. Esperamos que sus palabras le proporcionen tanto disfrute como conocimiento.