A medida que las organizaciones adoptan un enfoque de "lo digital primero", una decisión clave se cierne sobre ellas: qué solución de infraestructura de clave pública (PKI) elegir. La PKI constituye la columna vertebral de muchos mecanismos de seguridad, ya que permite la autenticación, las firmas digitales y las comunicaciones cifradas.
Sin embargo, a la hora de elegir entre una PKI pública y una privada, no existe una solución única, especialmente con normativas en evolución como eIDAS 2.
En mi próxima presentación en Keyfactor Tech Days, profundizaré en cómo están evolucionando la confianza digital y TLS, S/MIME, los certificados públicos de firma de código y los servicios de confianza cualificados, explorando las tendencias emergentes que remodelarán el panorama de la ciberseguridad.
El papel de TLS público y PKI privada
Los certificados TLS públicos, también conocidos como "WebPKI", son la forma más común de confianza que la gente reconoce cuando visita un sitio web. Estos certificados, en los que confían los navegadores más populares, autentican y cifran los servicios de cara al público, garantizando que los usuarios se conecten a sitios legítimos. TLS público es sencillo: fácil de implementar, universalmente aceptado y suficiente para el uso diario.
Sin embargo, debido a la falta de otros marcos de confianza pública y de jerarquías de PKI públicas para "casos de uso específicos", la WebPKI también ha sido utilizada, históricamente, por algo más que los navegadores populares. Los vendedores de sistemas operativos y otros proveedores software aplicaciones/proveedores de servicios han estado ofreciendo soluciones de software que utilizan las CA raíz WebPKI como anclas de confianza para sus casos de uso de autenticación de servidor (y cliente) TLS . SMTP, IMAP, LDAP, FTP y muchos otros protocolos/casos de uso han podido "activar TLS" utilizando certificados TLS públicos. ¿Qué futuro les espera a estos casos de uso "no relacionados con navegadores"?
La PKI privada, por el contrario, suele ser elegida por empresas con necesidades de seguridad más personalizadas. Una Autoridad de Certificación (CA) privada proporciona un control total sobre las políticas de seguridad, las claves criptográficas y el cumplimiento de la normativa. Para las empresas que gestionan datos confidenciales, una PKI privada ofrece una autonomía y flexibilidad que las soluciones públicas no pueden igualar.
eIDAS (Electronic Identification, Authentication and Trust Services) es un marco de la Unión Europea que establece normas para las firmas digitales y las transacciones electrónicas. El verdadero avance de eIDAS es su peso jurídico: las firmas digitales ya no son sólo seguras, sino jurídicamente vinculantes. Con eIDAS 2, este marco evoluciona para imponer exigencias de cumplimiento más estrictas, pero también nuevos servicios de confianza y carteras de identidad digital que revolucionarán la forma en que los ciudadanos y las entidades jurídicas interactúan digitalmente con otros ciudadanos y entidades jurídicas y con los servicios públicos.
PKI pública frente a privada: las ventajas y desventajas
TLS público es ampliamente fiable y fácil de implementar, pero carece de flexibilidad. Depende de una CA de terceros, de normas estrictas impuestas por CA/Browser Forum y de las políticas del almacén raíz del navegador, que pueden no coincidir con sus políticas de seguridad internas. Aunque es conveniente, esta falta de control puede ser limitante y, en algunos casos, perjudicial si no se está preparado para ello (por ejemplo, durante un evento de revocación/sustitución masiva de certificados en el que éstos deben ser revocados en un plazo de 24 horas por su CA externa).
La PKI privada, por su parte, ofrece mayor flexibilidad y control. Sin embargo, conlleva una complejidad añadida.
La gestión de una CA privada requiere infraestructura, experiencia, políticas cuidadosamente diseñadas y un mantenimiento continuo: no es una solución de "configúrelo y olvídese". La pregunta es: ¿prioriza la comodidad y la confianza generalizada ( TLS público) o el control y la personalización (PKI privada)? Cada vez son más las CA públicas que ofrecen servicios gestionados/soluciones de PKI privada que parecen ofrecer un buen equilibrio entre flexibilidad/control y seguridad (las CA públicas ya cuentan con la competencia, la experiencia, la infraestructura y las políticas de seguridad básicas).
En los próximos años, especialmente cuando la WebPKI introduzca políticas más estrictas (p. ej., validez máxima de los certificados de 100 o 47 días) que exijan a los operadores de sitios web aplicar la automatización para la gestión del ciclo de vida de los certificados, ¿cuál es el mejor camino a seguir para los casos de uso de la PKI pública "no navegador" y los sitios web "no accesibles desde la Internet pública"? Aquellos que no puedan automatizar a tiempo la gestión del ciclo de vida de los certificados, tal vez la mejor solución sea pasar a una PKI privada.
Mirando hacia el futuro: El impacto de eIDAS y las PKI públicas y privadas en la confianza digital
El futuro de la confianza digital requiere decisiones informadas y con visión de futuro. Keyfactor Tech Days será una gran oportunidad para reunirse y aprender cómo mantenerse por delante de la curva de la ciberseguridad. En mi sesión, exploraré cómo el eIDAS y las PKI públicas y privadas están cambiando el panorama de la confianza digital.
Además, dado que eIDAS ya es un marco de confianza establecido y probado con éxito que cubre las transacciones transfronterizas, los países no pertenecientes a la UE están adoptando marcos iguales o muy similares en su legislación nacional, lo que acelera la convergencia y la aceptación legal de la firma digital a escala mundial.
Por ello, espero que me acompañe a Keyfactor Tech Days en Miami Beach para profundizar en el impacto de estas tendencias en nuestro futuro digital.
Keyfactor Tech Days - ¡Consigue tu entrada aquí! Únase a nosotros en un viaje inolvidable hacia un futuro de confianza digital segura, escalable y automatizada.
