A pesar de la documentados del Protocolo simple de inscripción de certificados (SCEP), su uso sigue estando muy extendido. Esto se debe en gran parte a la falta de mejores opciones en lo que respecta a la inscripción de certificados, especialmente cuando se trata de dispositivos más limitados, como teléfonos móviles, tabletas y dispositivos limitados del Internet de las Cosas (IoT), como sistemas integrados, sensores, componentes de automoción o dispositivos médicos. La sencillez de SCEP lo convierte en una opción atractiva para los implantadores que se empeñan en cumplir plazos ajustados, pero esta sencillez puede tener un coste.
Uno de los problemas más evidentes de SCEP es que no contiene ninguna capacidad de autenticación de punto final: SCEP desconoce literalmente la identidad del solicitante del certificado. Se trata de un problema importante que hace casi imposible examinar adecuadamente las solicitudes de certificados.
La falta de identidad del solicitante sólo se mitiga parcialmente mediante la adición de una Contraseña de Desafío opcional de un solo uso que el solicitante debe suministrar con cada solicitud (por desgracia, sin nombre de usuario). Por desgracia, muchos sistemas siguen utilizando SCEP sin ni siquiera la contraseña de desafío como protección.
Incluso cinco años después del anuncio inicial de la vulnerabilidad SCEP, algunos proveedores siguen dando instrucciones específicas a sus clientes para que desactiven las contraseñas de sus servidores SCEP, desactivando literalmente la última pizca de protección sobre la investigación de suscriptores. Los clientes que siguen estas directrices en servidores SCEP que también admiten autenticación empresarial están permitiendo, sin saberlo, que cualquier usuario solicite certificados con cualquier otro identidad de cualquier otro usuario.
CSS lleva tiempo liderando la mejora de SCEP, incluida la creación de un enfoque patentado denominado VSCEP™ para superponer controles de identidad y verificación de contenidos, y colmar algunas de las lagunas asociadas al protocolo.
En muchos casos, SCEP sigue siendo la única opción. Hay nuevos protocolos en camino, aunque su adopción sigue siendo lenta. Mientras tanto, los riesgos asociados a SCEP pueden mitigarse con una configuración y supervisión adecuadas.
