A medida que las organizaciones adoptan la transformación digital y las tecnologías de vanguardia, la escala y la distribución de los certificados SSL/TLS han crecido rápidamente, creando nuevos desafíos.
Sami Van Vliet, Principal Product Manager de Keyfactor, y Mrugesh Chandarana, Senior Product Manager de HID, debatieron sobre las mejores prácticas para gestionar los certificados de SSL en su sesión de la Cumbre Virtual Keyfactor . Este blog ofrece un resumen de las ideas y recomendaciones tratadas en la sesión.
Ésta es la situación
La proliferación de dispositivos IoT en el ecosistema empresarial y la llegada de la virtualización y las prácticas DevOps han disparado los casos de uso de los certificados SSL/TLS .
A medida que las organizaciones presionan para lograr una implantación más rápida y eficiente de las aplicaciones empresariales, muchos equipos de DevOps implantan certificados sin coordinación con los equipos de TI y seguridad.
La falta de visibilidad y control sobre los certificados y las CA emisoras es un problema grave. El 74% de las organizaciones no sabe cuántas claves y certificados tiene realmente su organización. Tener visibilidad de sus certificados es la base para gestionar y proteger estos valiosos activos.
A pesar de su importancia, los certificados de SSL suelen quedar sin seguimiento ni gestión. Casi todas las empresas han experimentado una interrupción de la aplicación debido a un certificado caducado. De hecho, un informe reciente deKeyfactor y Ponemon indicaba que el 87% de los encuestados habían sufrido interrupciones imprevistas debido a certificados caducados.
El ciclo de vida del certificado SSL
Otra tendencia que hemos observado es la reducción de la validez de los certificados de SSL . Desde 2012, el foro CA/Browser (CA/B) ha ordenado la reducción de la vida útil de los certificados emitidos públicamente de 60 a 27 meses.
With the use of SSL/TLS certificates expanding and creating bigger threat surface, Google more recently proposed in 2019 a reduction to one-year lifespans, without success. Apple then strong-armed the CA/B forum by limiting certificate lifespans in its ecosystem to <398 days. These developments prompted Google Chrome and Mozilla to follow suit, forcing the CA/B Forum to set the new lifespan of certificates to just 13 months or 398 days.
En los próximos años, esperamos que la tendencia continúe. Aun así, hoy en día no es raro que las organizaciones emitan certificados con una validez de solo unos días u horas.
Sus mayores retos
Con el aumento del uso de certificados y la reducción de su vida útil, la carga de trabajo de los equipos de PKI y seguridad se ha duplicado, aunque su presupuesto sigue siendo el mismo. Esto ha creado una serie de nuevos retos para las organizaciones:
- Falta de visibilidad. Los equipos informáticos deben tener una visibilidad completa no sólo de los certificados de servidor, sino también de los certificados de autenticación de cliente.
- Procesos manuales. Las solicitudes, renovaciones y aprovisionamiento de certificados mediante métodos manuales y hojas de cálculo llevan horas o días. Además de llevar mucho tiempo, también es propenso a errores.
- Cambios de personal informático. Los administradores van y vienen, los correos electrónicos también pueden cambiar y, como resultado, no se reciben las notificaciones de caducidad. Las interrupciones debidas a certificados caducados están a un solo correo electrónico de distancia.
- Sin responsabilidad. Muchas veces, los administradores despliegan CAs "DIY" o integradas sin ninguna supervisión de seguridad.
- Respuesta lenta. Cuando se produce una interrupción por certificado caducado, identificar y sustituir el certificado caducado en todas las ubicaciones es un proceso que lleva mucho tiempo y puede tardar muchas horas o incluso días.
Cambios en el panorama criptográfico
Más allá del riesgo de interrupciones, las vulnerabilidades de los algoritmos y los avances informáticos han impulsado la necesidad de criptoagilidad. Las razones clave que exigen que las organizaciones sean criptoagiles son:
- Revocación masiva: ¿Qué ocurre si tu CA revoca certificados con poca antelación (por ejemplo, DigiCert revocó 50.000 en julio de 2020)?
- Anulación de algoritmos: Los algoritmos criptográficos se evalúan constantemente en busca de vulnerabilidades. La migración a SHA-2 ha llevado años y no será el último cambio de algoritmos.
- Compromiso de la CA: Si un atacante viola una CA, se rompe toda la cadena de confianza. Los certificados emitidos por la CA pierden su validez y deben instalarse nuevos certificados en todos los servidores con certificados de la CA comprometida.
- Agilidad de CA: La capacidad de añadir/eliminar o cambiar de una CA a otra es fundamental para la agilidad empresarial y evitar el bloqueo de CA.
- Errores en las bibliotecas criptográficas: Si se detecta un fallo en las funciones de generación de claves de una biblioteca criptográfica, deben sustituirse todas las claves generadas desde que se introdujo el fallo. Vulnerabilidades como Heartbleed en OpenSSL ponen en peligro los certificados y las claves privadas.
- Criptografía cuántica: los avances en cuántica exigen que las organizaciones se preparen para la inevitable implantación de algoritmos post-cuánticos. Ha llegado el momento de empezar a planificar una criptografía cuántica segura.
El requisito de ser criptoágil hace que la automatización sea imprescindible para afrontar todos estos retos con mayor eficacia.
5 buenas prácticas para gestionar certificados SSL
1. Ganar visibilidad
Para abordar los riesgos de los certificados de servidor de TLS , las organizaciones deben establecer y mantener una visibilidad clara de todos los certificados de SSL/TLS en su entorno. El inventario debe centrarse en:
- Autoridades de certificación (CA), que son la fuente de la mayoría de los certificados y se sincronizan con las CA internas y públicas.
- Red SSL/TLS Endpoints para identificar dónde están instalados todos los certificados en la red.
- Almacenes de claves y certificados para localizar certificados que no estén expuestos a un puerto de la red.
El proceso de identificación de certificados corporativos SSL/TLS debe localizar dónde están instalados todos los certificados y crear un inventario centralizado de todos los certificados emitidos. Además, debe identificar a los propietarios de todos los certificados y dominios y comprender los servidores web y aplicaciones asociados.
2. Remediar
Una vez identificados todos los certificados, el siguiente paso es corregir los puntos débiles. Este proceso debe encontrar vulnerabilidades como claves o hashes débiles y controlar el uso de certificados comodín y autofirmados.
Los certificados caducados deben renovarse y las claves privadas deben estar siempre protegidas. Por último, los certificados débiles o fraudulentos deben eliminarse del ecosistema de certificados.
La reciente interrupción de una hora de Spotify, que afectó a su servicio de streaming debido a un certificado comodín caducado, es un buen ejemplo de por qué la visibilidad y la corrección son fundamentales.
La interrupción de Spotify ha proporcionado muchas lecciones útiles. A saber, los certificados comodín son útiles en ciertos casos, pero su uso debe limitarse y supervisarse continuamente. Cuando se necesiten certificados comodín, genérelos con diferentes claves privadas para minimizar el impacto de una interrupción.
3. Aplicar la política
La política debe aplicarse a nivel empresarial para cubrir a todos los posibles propietarios y consumidores de certificados, como administradores de red, DevOps, equipos de seguridad, administradores de PKI y personal de TI.
Una política de gestión de certificados para toda la empresa debe definir los propietarios de los certificados y sus funciones y responsabilidades. La emisión y renovación de certificados debe estar estandarizada, y debe establecerse un sistema de alerta temprana para enviar alertas de caducidad a los propietarios de certificados. Por último, deben establecerse políticas para la revocación y eliminación de certificados.
4. Automatizar e integrar
El uso cada vez más extendido y la dependencia de los certificados de servidor de SSL para proteger aplicaciones importantes está haciendo que la gestión manual de certificados resulte poco práctica. La automatización ha cobrado importancia para gestionar de forma rentable y eficiente todos los problemas de gestión de certificados.
La automatización debe utilizarse siempre que sea posible para la inscripción, instalación, supervisión y sustitución de certificados. Una solución de automatización debe permitir a los usuarios autogestionar sus propios certificados e integrarse con herramientas de nube y DevOps.
5. Supervisar e informar
Para asegurarse de que una solución de automatización funciona correctamente y debido al amplio uso de certificados en todas las comunicaciones críticas, los fallos operativos o de seguridad relacionados con los certificados SSL/TLS pueden afectar significativamente a las operaciones empresariales. SSL/TLS certificados deben supervisarse continuamente para evitar interrupciones y vulnerabilidades de seguridad.
Los certificados deben vigilarse para detectar su inminente caducidad y situaciones en las que no funcionan, no están configurados correctamente o son vulnerables. Además, el escaneo debe localizar certificados generados fuera de los procedimientos establecidos.
El proceso de supervisión debe comprobar cualquier actividad CRL/OCSP y auditar periódicamente el entorno de certificados para comprobar el cumplimiento continuo de las políticas de certificados.
Evalúe su madurez
La gestión de los certificados de SSL a menudo comienza con procesos manuales (es decir, hojas de cálculo) y se extiende hasta la automatización dinámica sin intervención. En función de las necesidades de su organización, tendrá que determinar en qué punto se encuentra y cómo mejorar su postura para evitar interrupciones y adelantarse a la curva criptográfica.
Descargue el Modelo de Madurez de Gestión de Certificados para empezar.