Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • La verdad sobre las ofertas de servicios gestionados de PKI

La verdad sobre las ofertas de servicios gestionados de PKI

Recientemente he trabajado con un cliente que decidió obtener certificados de un proveedor de servicios en lugar de crear una PKI. En este caso, el cliente disponía de recursos limitados y una evaluación de la opción de creación frente a la de compra demostró que este era el enfoque correcto a corto plazo.

Al examinar las distintas ofertas de servicios gestionados (MSO) de PKI, surgió una preocupación y un problema clave.

¿A quién pertenecen las claves privadas de los pares de claves cuando se obtienen de un servicio?

En la mayoría de los casos, el cliente obtiene una licencia de "uso" de las claves y los certificados, y no de las claves y los certificados en sí. Aunque a primera vista esto pueda parecer benigno e intrascendente, considere el hecho de que si no posee el material de las claves, podría estar cifrando datos y firmando documentos con algo que no posee y sobre cuyo uso no tiene derechos a largo plazo.

Esto podría resultar extremadamente importante cuando un sector se rige por normas de conservación de datos, como las instituciones financieras o la sanidad, por ejemplo.

Veamos primero los tipos típicos de servicios PKI gestionados:

Certificados con la marca del proveedor de servicios

Las fuentes de certificados de este tipo de servicio suelen tener la información del proveedor en todo el certificado, concretamente en la denominación del certificado, las ubicaciones CDP, etc.

Certificados con la marca del cliente

En este tipo de oferta de servicios, los certificados suelen ser "de marca" para el cliente y a menudo parecen emitidos desde la PKI del cliente; sin embargo, suelen emitirse desde una infraestructura compartida o, al menos, una parte de una infraestructura compartida.

Certificados específicos para clientes

En este tipo de servicios, los certificados se expiden al cliente desde una infraestructura dedicada que incluye CA raíz, HSM, servidores OCSP, servidores CRL, etc. dedicados. Sin embargo, el proveedor de servicios proporciona todo el mantenimiento, la gestión y el soporte relacionados con la PKI. Como resultado, los certificados son específicos para el cliente y pueden configurarse según sus necesidades.

Supongamos (para argumentar) que necesita conservar copias de los correos electrónicos durante 7 años y que utiliza S/MIME para cifrar algunos o todos los correos electrónicos y que emite certificados durante 3 años y los certificados son válidos durante 2 años.

En primer lugar, debe considerar que la fecha de finalización con el Servicio PKI es de 2 años a partir de la fecha del último certificado. Por tanto, la relación es de 5 años en este punto. Pero necesitas acceder a las claves durante 7 años para cumplir los requisitos de conservación de datos, por lo que la relación es en realidad de 12 años.

Supongamos que está pagando 250.000 dólares por certificados ilimitados y que las tasas de "mantenimiento" para permitir el acceso a las claves, CRL y respondedores OCSP ascienden al 25% de la tasa durante los 9 años restantes.

En el transcurso de 12 años, eso supone 1.312.500 dólares, y es probable que usted siga emitiendo certificados desde otro lugar durante los 9 años. Ese coste no se tiene en cuenta.

Deben plantearse algunas preguntas importantes al proveedor de MSO PKI:

  • ¿Es posible trasladar la solución al interior de la empresa en el futuro? En caso afirmativo, ¿cuál es el coste previsto y la complejidad técnica?
  • ¿Hay elementos del servicio que no puedan trasladarse? ¿Qué se comparte en la infraestructura?
  • ¿Puedo utilizar mis propias URL para las CRL?
  • ¿Se pueden depositar claves privadas de cifrado en mis instalaciones?

Ni que decir tiene que esta no es una lista completa de preguntas, pero a menudo se pasan por alto y no hacerlas puede llevar a sorpresas inesperadas. Si el MSO puede demostrar una vía que le permita implantar la solución en su empresa, se reduce en gran medida su dependencia del proveedor y el riesgo global para su organización.

Cuando considere un MSO para su PKI, hágase las preguntas difíciles. Piense en la posibilidad de tener que trasladarse a la PKI en algún momento en el futuro. Preste mucha atención a lo que está licenciando y cuál es el coste real durante la vida útil del servicio y las necesidades particulares de su organización.