¿Cómo conseguir que todos los certificados de su organización sigan las mismas reglas de seguridad? Para muchos equipos, es más fácil decirlo que hacerlo. La buena noticia es que ya dispone de un método integrado para garantizar la coherencia: las solicitudes de firma de certificados (CSR).
Una CSR ayuda a estandarizar el tamaño de las claves, los algoritmos y los campos de identidad para que cada certificado cumpla los requisitos de seguridad y conformidad de su organización.
Generará una CSR siempre que necesite un nuevo certificado de una autoridad de certificación (CA). Una vez aprobado, la CA proporciona el certificado que contiene la clave pública y la información de identificación, mientras que la clave privada permanece segura en el sistema del solicitante. Las CSR son necesarias en múltiples etapas del ciclo de vida de la gestión de certificados: emisión, renovaciones que implican nuevos pares de claves o cuando actualiza su organización a nuevos estándares criptográficos, entre otros.
Entonces, ¿cuándo hay que generar un CSR?
En este artículo, identificaremos en qué punto del ciclo de vida de la gestión de certificados puede necesitar un certificado y cómo utilizar las CSR para la aplicación coherente de políticas en toda su organización.
Cuándo generar un CSR
Hay varias etapas del ciclo de vida de la gestión de certificados en las que necesitará solicitar un certificado nuevo o actualizado.
Emisión inicial
Generará una nueva CSR la primera vez que necesite un certificado para poner en marcha un nuevo servidor web, VPN o aplicación interna. Por ejemplo, para solicitar un certificado certificadoTLS de una CA pública como DigiCert o Let's Encrypt requiere un CSR como entrada.
Añada cualquier CSR nuevo al inventario de claves PKI de su organización, de modo que pueda controlar cuándo es el momento de la renovación.
Renovaciones con nuevo material clave
Los certificados que se acercan a su fecha de caducidad deben renovarse o retirarse, y muchas políticas exigen la renovación simultánea de las claves. Cuando necesite un nuevo par de claves, necesitará un nuevo certificado. Generar una nueva CSR significa que la nueva clave privada es única, lo que impide la reutilización criptográfica.
Si alguna clave ha quedado expuesta en una filtración de datos, debe renovar todos los certificados afectados para evitar accesos no autorizados. Esencialmente, es como cambiar las contraseñas para asegurarse de que alguien con una contraseña (o clave) obsoleta no pueda acceder a sus recursos.
Mejora de la seguridad criptográfica
Además de renovar los certificados, puede (y debe) actualizar los algoritmos de protección utilizados por su organización. Los algoritmos criptográficos evolucionan a medida que maduran las tecnologías de descifrado, lo que obliga a las organizaciones a actualizar sus algoritmos o arriesgarse a sufrir violaciones de datos y otros incidentes de seguridad cuando se descifran algoritmos obsoletos.
La clave pública cambia cuando su organización cambia de algoritmo, lo que requiere un nuevo CSR para obtener un certificado actualizado. Estas actualizaciones seguirán siendo populares a medida que los algoritmos más débiles queden obsoletos y, por tanto, sean más arriesgados.
Otra razón por la que las organizaciones deben considerar la actualización de los algoritmos es la criptografía post-cuántica (PQC), que trata de cómo tendrá que evolucionar la criptografía cuando la computación cuántica sea una tecnología lo suficientemente madura. La mayoría de los algoritmos serían descifrados por ordenadores cuánticos en muy poco tiempo, lo que significa que su organización ya debería estar revisando sus algoritmos criptográficos en preparación para la PQC. Deshágase de los certificados que utilicen algoritmos obsoletos en favor de otros más seguros.
Migraciones de CA o infraestructuras
Cuando una organización cambia su infraestructura PKI, incluida la transición de una solución local a la nube, la jerarquía de CA cambia. Cada sistema tendrá que volver a generar una CSR para restablecer la confianza.
Asegúrese de haber contabilizado todos los certificados existentes antes de una migración importante de CA o infraestructura, y actualícelos lo antes posible (con una herramienta automatizada).
Entornos DevOps automatizados
Al automatizar su canalización de DevOps, necesitará muchos certificados temporales de corta duración. Las cargas de trabajo de Kubernetes suelen utilizar los protocolos Automated Certificate Management Environment (ACME) o Enrollment over Secure Transport (EST) para generar de forma dinámica CSR y solicitar certificados de corta duración. El proceso tiene lugar a velocidad de máquina, pero el principio es el mismo: sigue siendo necesaria una CSR para cada certificado.
Mantenga sus procesos DevOps en perfecto funcionamiento automatizando la generación de CSR junto con otros procesos.
IoT e identidad de dispositivos
Los dispositivos de Internet de las cosasIoT) generan CSR localmente durante la fabricación o el aprovisionamiento para confirmar sus identidades y obtener certificados. Por ejemplo, un dispositivo médico inteligente genera una CSR para solicitar su certificado de identidad antes de poder conectarse a la red de un hospital.
Asegúrese de evaluar los algoritmos de seguridad para garantizar que los dispositivos IoT no ponen a los usuarios en riesgo de incidentes de seguridad.
¿Cómo se generan los CSR?
Generar una CSR es vital para proteger la raíz de confianza de cada certificado que utilice su organización, especialmente para fines como firma de código. Cuando genera una CSRestá creando un nuevo par de claves. La mitad pública del par va en la solicitud, y la mitad privada permanece local.
El proceso consta de dos pasos básicos:
- Generar un CSR. Las CSR incluyen detalles como el nombre común (CN), los nombres alternativos de asunto (SAN), detalles de la organización y, a veces, extensiones como el uso de claves o algoritmos de firma. Asegúrese de que sus CSR están configurados con los algoritmos adecuados y coinciden con los ajustes utilizados en su organización.
- La CA emite un certificado. La CA verifica la información de su CSR, la firma y emite un certificado que vincula la clave pública a una identidad.
- Si la CSR está malformada (SAN erróneas, algoritmos débiles), la CA la rechaza o emite un certificado que no cumple los requisitos de seguridad y conformidad.
Una vez completado este proceso, su certificado seguro debe actualizarse. Asegúrese de que los certificados se almacenan de forma segura y pruébelos para comprobar que cumplen los requisitos de seguridad y conformidad de su organización.
Escollos comunes (y soluciones sugeridas) de la generación de RSE
Cuando genera una CSR para aplicar políticas de seguridad en toda su organización, incluye muchos datos para que la CA los verifique. Si esos datos faltan o son incorrectos, es posible que su empresa no pueda emitir o renovar certificados vitales antes de que caduquen.
He aquí algunos escollos comunes de la RSE y las soluciones sugeridas.
| Pitfall | Solución |
| Nombres alternativos de asunto (SAN) inexistentes o incorrectos. Los navegadores y clientes modernos confían en los SAN en lugar de en los CN, por lo que los CSR sin ellos pueden causar interrupciones. | Automatice la generación de CSR con una plataforma de gestión de certificados para eliminar errores tipográficos, garantizar SAN adecuados y aplicar plantillas coherentes. |
| PKI distribuida y no estandarizada. Algunas herramientas utilizan por defecto algoritmos obsoletos al generar CSR, por lo que los certificados resultantes no superan las auditorías de conformidad. En toda la organización, los distintos equipos pueden generar CSR con convenciones de nomenclatura o estructuras de campos incoherentes. | Estandarizar las plantillas de RSC para ayudar a todos los equipos a generar solicitudes con los mismos algoritmos aprobados, información sobre la organización, convenciones de nomenclatura, etc. Esto ayuda a acelerar y reducir el coste de las auditorías. |
| Almacenamiento inseguro de claves. Cuando las claves privadas se generan en un servidor de compilación compartido o se copian entre máquinas, podrían acceder a ellas personas no autorizadas, lo que pondría en peligro la seguridad de los datos de su organización. | Claves seguras en el sistema en el que se crean y utilizan módulos de seguridad de hardware (HSM), bóvedas de claves o enclaves seguros para mantenerlas bajo llave. Los CSR también deben mantenerse seguros y cifrados si es posible. |
| Generación manual de CSR. Sin automatización, las CSR de renovación se generan a menudo tarde, lo que crea una lucha por emitir e implantar nuevos certificados antes de que caduquen los antiguos. La demanda de certificados es alta y va en aumento debido al crecimiento de usuarios y dispositivos. | Realice un seguimiento de cada certificado de su organización, incluidas sus fechas de caducidad, mediante plataformas automatizadas de gestión de certificados. También recomendamos utilizar API como ACME o EST para generar CSR automáticamente a escala cuando sea necesario, como en entornos DevOps o de TI. |
Cómo encaja la generación de CSR en una gestión de certificados madura
El ciclo de vida de la gestión de certificados es masivo, integrado y entrelazado en los entornos modernos, y vital para el buen funcionamiento. Cada certificado debe solicitarse, emitirse, rastrearse, implantarse, renovarse antes de su caducidad y, finalmente, retirarse. Y la mayoría de las organizaciones manejan decenas de miles, si no millones, de certificados. Los certificados mal gestionados se convierten en fuentes de brechas de seguridad e interrupciones que cuestan miles a las organizaciones.
La generación de CSR es un paso fundamental para garantizar que sus certificados son válidos, están actualizados y son seguros. Los procesos de descubrimiento e inventario ayudan a garantizar que se tiene en cuenta cada certificado, pero es en las CSR donde se originan los nuevos certificados. Las herramientas de gestión de certificados deben ayudar a automatizar la generación de CSR siempre que sea posible.
Los flujos de trabajo automatizados y maduros se extienden desde la creación de CSR a todo el ciclo de vida del certificado: emisión, aprovisionamiento, renovación y revocación. El lugar más sencillo para aplicar las políticas de gobierno de certificados de su organización, desde el tamaño de la clave hasta la elección del algoritmo, es antes de de que se emita el certificado. La generación de una CSR con la configuración y la información adecuadas garantizará que los certificados resultantes superen las auditorías de seguridad.
Tratar la generación de RSE como un proceso automatizado y basado en políticas. Keyfactor Command puede ayudarle descubriendo cada certificado, automatizando las renovaciones y evitando costosas interrupciones, todo ello desde una única plataforma diseñada para escalar. Simplifique sus operaciones PKI y devuelva a su equipo tiempo para centrarse en lo que importa.
