Ya estamos otra vez. El 3 de marzo, Google anunció una propuesta para reducir la vida útil de los certificados públicos TLS de los 398 días actuales a sólo 90 días. Es como un déjà vu para los equipos de TI y seguridad que han sido testigos de una vida útil cada vez más corta en los últimos años.
La reducción de la vida útil de los certificados digitales significa que las empresas tienen que mejorar su gestión de certificados. Esto significa garantizar una visibilidad óptima para detectar certificados caducados antes de que se conviertan en un problema y causen costosas interrupciones y tiempos de inactividad.
Aquí compartimos las implicaciones de la iniciativa de Google "Avanzamos juntos de Google y cómo puedes prepararte mejor para los cambios que se avecinan.
Los ciclos de vida más cortos requieren una gestión más frecuente de los certificados
Las empresas están emitiendo certificados a gran escala y, según el informe anual de KeyfactorState of Machine Identityel volumen medio de certificados emitidos en una organización es de 256.000. Pero más certificados pueden acarrear más problemas si una empresa no sabe gestionarlos.
Casi dos tercios (62%) de los encuestados afirman que no saben realmente cuántos certificados tienen. Sin visibilidad, no pueden determinar fácilmente a quién pertenecen estos certificados, quién los emitió o en qué aplicaciones o servidores están instalados. El problema se agravará con la reducción de la vida útil de los certificados, ya que el 72% afirma que el creciente uso de claves y certificados está ejerciendo una mayor presión sobre sus equipos.
El problema no son los certificados. Es la naturaleza humana. La gente es olvidadiza y sólo puede centrar su atención en un número limitado de cosas. Es importante recordarlo en un contexto en el que la vida útil de los certificados disminuye y la carga de trabajo para renovarlos aumenta entre 4 y 5 veces.
Seguridad frente a problemas operativos
El proyecto de Google "Moving Forward, Together" incluye varios cambios propuestos, y el más impactante puede ser el periodo máximo de validez del certificado de 90 días. La intención de este cambio es mejorar la seguridad haciendo que el certificado esté disponible durante un periodo de tiempo más corto. Es un concepto similar al de cambiar frecuentemente de contraseña.
Sin embargo, se ha debatido si la mejora de la seguridad merece la pena en términos operativos. Por eso existe una tendencia a aliviar la carga operativa automatizando las tareas relacionadas con los certificados, como la inscripción, la renovación y el aprovisionamiento.
Aunque ACME puede ayudar a las organizaciones a empezar a adoptar la automatización, no es una solución universal. Los equipos de TI y seguridad necesitan un enfoque multifacético de la automatización, que incluya el uso de protocolos de inscripción estándar del sector como ACME, SCEP y EST, así como herramientas de automatización del ciclo de vida de los certificados, para garantizar que están bien equipados para gestionar la amplitud de casos de uso en toda su empresa.
También tienen que asegurarse de que no sólo se automatiza la renovación, sino también el aprovisionamiento y la instalación de certificados. Aquí es donde a menudo surgen los problemas. El propietario de una aplicación renovará un certificado, pero se olvidará de instalarlo, lo instalará incorrectamente o simplemente perderá horas de su tiempo que podría dedicar a sus prioridades. Automatizar el ciclo de vida completo de un certificado ayuda a reducir estos errores humanos y a recortar, o incluso eliminar por completo, el tiempo dedicado a tareas repetitivas y tediosas como ésta.
No se deje llevar por el pánico y empiece a prepararse
No está claro cuándo se producirá el cambio a los certificados de 90 días. El cambio requiere una votación que podría durar entre seis y doce meses, seguida de un periodo de transición. Además, el cambio ya se enfrenta a la oposición de las leyes antimonopolio de la UE.
En materia de seguridad, la única constante es el cambio, y sólo es cuestión de saber cómo y cuándo se producirá ese cambio. Prepararse para un cambio así no se hace de la noche a la mañana, y requiere tiempo y una planificación cuidadosa.
¿Qué medidas pueden tomar las empresas para estar preparadas? Son exactamente las mismas acciones que ya deberían estar haciendo para sus certificados de 398 días e incluyen:
- Visibilidad: Conozca dónde se encuentran todos los certificados de su red.
- Responsabilidad: Defina la propiedad del certificado y delegue la responsabilidad del ciclo de vida del certificado.
- Política y procesos: Simplifique las solicitudes y aprobaciones de certificados con la inscripción autoservicio.
- Automatización: Automatice todo el ciclo de vida con alertas, renovaciones y aprovisionamiento.
Recuerde que la automatización es algo más que hacer llegar el certificado al dispositivo. Es configurar el activo para que utilice el certificado e informar de que el certificado se ha actualizado y está siendo utilizado por el dispositivo. Entonces, si algo no ha ido según lo previsto, tendrá tiempo de reaccionar y tomar medidas correctoras.
Para obtener más información sobre el impacto del proyecto "Moving Forward, Together" de Google y sobre cómo Keyfactor puede ayudarle a prepararse para la reducción de la vida útil de los certificados, vea el seminario web a la carta El cambio a los certificados de 90 días TLS : Cómo prepararse.
