De nuevo. El 3 de marzo, Google anunció una propuesta para reducir la vida útil de los certificados TLS públicos de los actuales 398 días a solo 90 días. Esto es como un déjà vu para los equipos de TI y seguridad, que han sido testigos de una vida útil cada vez más corta en los últimos años.
Reducir la vida útil de los certificados digitales implica que las empresas deben mejorar significativamente su gestión de certificados. Esto significa asegurar una visibilidad óptima para detectar rápidamente los certificados que están por caducar antes de que se vuelvan problemáticos y causen costosas interrupciones y tiempos de inactividad.
Aquí compartimos las implicaciones del proyecto de Google “Moving Forward, Together” y cómo puede prepararse mejor para los cambios futuros.
Ciclos de vida más cortos requieren una gestión de certificados más frecuente
Las empresas están emitiendo certificados a gran escala y, según el informe anual State of Machine Identity de Keyfactor, el volumen promedio de certificados emitidos dentro de una organización es de 256.000. Sin embargo, un mayor número de certificados puede generar más problemas si una empresa no puede gestionarlos.
Casi dos tercios (62%) de los encuestados afirmaron no saber realmente cuántos certificados poseen. Sin visibilidad, no pueden determinar fácilmente quién posee estos certificados, quién los emitió o en qué aplicaciones o servidores están instalados. El problema se agravará con la reducción de la vida útil de los certificados, ya que el 72% afirma que el uso creciente de claves y certificados está ejerciendo una mayor presión sobre sus equipos.
El problema no son los certificados, sino la naturaleza humana. Las personas son olvidadizas y solo pueden concentrar su atención en un número limitado de cosas. Esto es importante recordarlo en el contexto de la disminución de la vida útil de los certificados y el aumento de 4 a 5 veces en la carga de trabajo para renovarlos.
Ventajas de seguridad vs. dificultades operativas
El proyecto de Google “Moving Forward, Together” incluye varias propuestas de cambio, y la más impactante podría ser el período máximo de validez de 90 días para los certificados. La intención de este cambio es mejorar la seguridad al tener el certificado disponible por un período de tiempo más corto. Es un concepto similar al de cambiar la contraseña con frecuencia.
Sin embargo, ha habido cierto debate sobre si el beneficio de seguridad justifica la carga operativa. Por eso, existe un impulso para aliviar la carga operativa mediante la automatización de tareas relacionadas con los certificados, como la inscripción, la renovación y el aprovisionamiento.
Aunque ACME puede ayudar a las organizaciones a empezar a adoptar la automatización, no es una solución universal. Los equipos de TI y seguridad necesitan un enfoque multifacético para la automatización, que incluya el uso de protocolos de inscripción estándar de la industria como ACME, SCEP y EST, así como herramientas de automatización del ciclo de vida de los certificados, para asegurar que estén bien equipados para manejar la amplitud de casos de uso en toda su empresa.
También deben asegurarse de que no solo la renovación esté automatizada, sino también el aprovisionamiento y la instalación de certificados. Ahí es donde a menudo surgen los problemas. Un propietario de aplicación puede renovar un certificado, pero olvidar instalarlo, instalarlo incorrectamente o simplemente perder horas de su tiempo que podrían dedicarse a sus prioridades. Automatizar el ciclo de vida de un certificado de principio a fin ayuda a reducir estos errores humanos y a disminuir, o incluso eliminar por completo, el tiempo dedicado a tareas repetitivas y tediosas como esta.
Deje de entrar en pánico y comience a prepararse
Existe incertidumbre sobre cuándo – y si – se producirá el cambio a certificados de 90 días. El cambio requiere una votación que podría tardar entre seis y doce meses, seguida de un período de transición. Además, el cambio ya está encontrando resistencia por parte de las leyes antimonopolio de la UE.
La única constante en seguridad es el cambio, y solo es cuestión de cómo y cuándo se manifestará. Prepararse para un cambio como este no ocurre de la noche a la mañana, y requiere tiempo y una planificación cuidadosa.
¿Qué pasos pueden tomar las empresas para asegurar su preparación? Son exactamente las mismas acciones que ya debería estar realizando para sus certificados de 398 días e incluyen:
- Visibilidad: Desarrolle una comprensión de dónde residen todos los certificados en su red.
- Responsabilidad: Defina la propiedad de los certificados y delegue la responsabilidad del ciclo de vida del certificado.
- Política y proceso: Simplifique las solicitudes y aprobaciones de certificados con la inscripción de autoservicio.
- Automatización: Automatice todo el ciclo de vida con alertas, renovaciones y aprovisionamiento.
Recuerde, la automatización es más que simplemente llevar el certificado al activo. Implica configurar el activo para que utilice el certificado y luego informar que el certificado ha sido actualizado y está siendo utilizado por el dispositivo. Así, si algo no sale según lo planeado, tendrá tiempo para reaccionar y tomar medidas de remediación.
Para obtener más información sobre el impacto del proyecto de Google “Moving Forward, Together” y cómo Keyfactor puede ayudarle a prepararse para la reducción de la vida útil de los certificados, vea el seminario web bajo demanda El cambio a los certificados TLS de 90 días: cómo prepararse.
