Cada vez es más necesario disponer de certificados digitales para identificar y controlar quién puede acceder a las redes de la empresa y operar en ellas. Hoy en día, las organizaciones desean establecer puntos de acceso inalámbricos que restrinjan el acceso a dispositivos externos y sólo permitan el acceso a su red a las personas y máquinas que se supone deben tener acceso.
Los certificados digitales son el principal vehículo de identificación y autenticación de personas y máquinas. A medida que aumenta el número de identidades en una empresa, también lo hace la dificultad de gestionar y proteger los certificados a escala.
La gestión eficaz de certificados requiere la emisión, renovación y revocación constantes de certificados digitales, y no hay margen para el error.
Una autoridad de certificación (CA) es responsable de dar fe de la identidad de usuarios, ordenadores y organizaciones. La CA autentica a una entidad y responde de esa identidad emitiendo un certificado firmado digitalmente. La CA también puede gestionar, revocar y renovar certificados.
Una autoridad de certificación puede referirse a:
Muchas organizaciones y particulares confían en CA de terceros para la gestión de certificados en SSL .
Al instalar la Autoridad de Certificación, puede configurar su servidor para que actúe como CA. Antes de instalar una autoridad de certificación localmente, debe planificar una infraestructura de clave pública (PKI) adecuada para su organización.
Los usos típicos de las CA privadas incluyen:
Comunicaciones seguras entre servicios internos y comunicaciones interoperables entre terceros, incluidos los entornos de nube en contenedores o conectados a interfaces de programación de aplicaciones (API).
Existen dos estrategias habituales para obtener certificados:
Antes de crear una solicitud de firma de certificado (CSR), el solicitante genera primero un par de claves, manteniendo la clave privada en secreto. Además, la CA suele exigirle que acredite su identidad legal.
Obtener un certificado a través de una CA de confianza es un proceso bastante sencillo. Si pide a una CA que emita un certificado para usted, debe incluir su clave pública y alguna información sobre usted. Debe utilizar una herramienta que soporte la generación de solicitudes de firma de certificados, pero la mayoría de las plataformas de gestión de certificados han hecho que este proceso sea fácil e indoloro.
La CA producirá entonces el certificado y se lo devolverá. Si creas el certificado tú mismo, tomarás los mismos detalles, añadirás un poco más (fechas en las que el certificado es válido, número de serie) y construirás el certificado utilizando alguna herramienta.
No todas aceptan certificados autofirmados. Un valor que ofrecen las CA es servir de servicio introductorio neutral y de confianza, en parte basado en sus criterios de autenticación, que se publican libremente en sus Prácticas de Servicio de Certificación (CSP).
Antes de crear una solicitud de firma de certificado (CSR), el solicitante genera primero un par de claves, manteniendo la clave privada en secreto. Además, la CA normalmente le pedirá que proporcione una prueba de su identidad legal. Firme esta información en línea y envíela a la CA. La CA producirá entonces el certificado y se lo devolverá.
La gestión de certificados implica descubrir, analizar, supervisar y gestionar todos los certificados digitales desplegados por la autoridad de certificación. Una gestión de certificados adecuada debería ser fundamental para la estrategia de seguridad de su organización.
Para comprender el amplio alcance de la gestión de certificados, primero debemos ver el panorama completo y cómo se relaciona con la Infraestructura de Clave Pública (PKI).
La PKI comprende las personas, funciones, políticas, procedimientos, hardware, software, y sistemas de firmware necesarios para unas comunicaciones seguras a través de amplias redes públicas y privadas. Al intercambiar información sensible, los participantes en la red pueden confiar en la identidad de los demás mediante el intercambio de certificados digitales.
La PKI más común - SSL/TLS - utiliza un criptosistema híbrido que emplea ambos tipos de cifrado. Cada parte firma un mensaje con sus claves públicas y se lo envía a la otra. Ambos descifran los mensajes recibidos con sus claves privadas. Este proceso crea una clave secreta compartida.
Las principales entidades que intervienen en la gestión de certificados PKI son las siguientes:
La Autoridad de Certificación es un tercero de confianza que emite claves y certificados de usuario final y gestiona su ciclo de vida, incluyendo su generación, revocación, caducidad y actualización.
La CA raíz es el nivel más alto de la jerarquía y sirve como ancla de confianza. Para que un certificado de entidad final sea de confianza, la CA raíz a la que se encadena debe estar integrada en el sistema operativo, navegador, dispositivo o lo que sea que esté validando el certificado. Las CA raíz están fuertemente protegidas y se mantienen desconectadas (más información a continuación).
Viven entre los certificados raíz y los de entidad final, y su propósito principal es definir y autorizar los tipos de certificados que se pueden solicitar a la CA raíz. Por ejemplo, en las jerarquías públicas, debe separar las CA subordinadas SSL y S/MIME. Otro escenario común son las Subordinadas separadas para diferentes ubicaciones, o podrías tener una para certificados con claves ECC y otra para claves RSA.
Nota: Puede haber una o más CA subordinadas entre una CA raíz y los certificados de entidad final. Las CA subordinadas que se encuentran entre la CA raíz y otra subordinada se denominan a veces CA intermedias.
Son los certificados instalados en servidores, máquinas, criptográficos hardware, y dispositivos.
Aplicación cliente es un usuario final software que solicita, recibe y utiliza certificados de clave pública para llevar a cabo un comercio electrónico seguro.
Una PKI gestionada necesita servicios adicionales que interoperen con los otros tres componentes mencionados. Estos proporcionan servicios únicos que permiten muchas aplicaciones de comercio electrónico. Los servicios típicos incluyen:
El repositorio de certificados proporciona un mecanismo escalable para almacenar y distribuir certificados, certificados cruzados y listas de revocación de certificados (CRL) a los usuarios finales de la PKI.
Debido a su posición central en la PKI, estos componentes deben ser sensibles e interoperables.
La gestión del ciclo de vida de los certificados es una disciplina que coincide con la PKI, pero tiene su propio conjunto de normas y protocolos, centrados en el descubrimiento, la gestión y la supervisión de los certificados digitales.
La gestión de certificados suele referirse únicamente a los certificados emitidos por Autoridades de Certificación de confianza mutua. Una vez emitidos, los certificados digitales deben gestionarse con diligencia durante todo su periodo de validez. Puede parecer sencillo en su contexto, pero la gestión de certificados es cualquier cosa menos sencilla.
He aquí las siete etapas de la gestión del ciclo de vida de los certificados.
El descubrimiento de certificados es el proceso mediante el cual se revisa toda la infraestructura de la red para determinar dónde está instalado cada certificado y verificar si está correctamente implementado. Una exploración de descubrimiento garantiza que la red esté libre de certificados desconocidos que puedan estar caducados o configurados con protocolos débiles.
Organizar los certificados en un inventario centralizado facilita las operaciones con certificados, como las renovaciones y revocaciones. Correlacione los dispositivos con los certificados para realizar un seguimiento del estado de cada dispositivo y saber cuándo caducará su certificado. Una práctica habitual es clasificar los certificados en función de su finalidad.
Al construir cadenas de certificados, hay que tener cuidado de configurar correctamente los certificados raíz e intermedios para evitar confusiones durante las renovaciones. Existen diferentes clases de certificados a su disposición. Adquirir los certificados adecuados evita el fraude y mantiene seguras las comunicaciones.
El solicitante crea primero un par de claves antes de generar un CSR, pero manteniendo la clave privada en secreto. El CSR incluye detalles que identifican al solicitante (como un nombre distinguido para un certificado X.509) que debe ser firmado utilizando la clave privada del solicitante. El CSR también incluye la clave pública preferida del solicitante.
Si usted crea el certificado, debe tomar los mismos detalles, añadir un poco más (fechas durante las cuales el certificado es válido, un número de serie), y construir el certificado utilizando alguna herramienta.
La variedad de tipos y atributos de los certificados aumenta especialmente la complejidad de su gestión.
Los responsables de seguridad tienen que compensar y gestionar varios formatos de certificado que pueden definir una amplia gama de especificaciones para las propiedades de los metadatos, como la longitud de la clave de cifrado y los algoritmos criptográficos.
Despliegue el certificado a tiempo con la configuración adecuada.
Puede tratarse de un dispositivo, un servidor, una aplicación o incluso un sitio web. Conocer el estado y la ubicación de todos los certificados de su red es crucial.
Un usuario debe verificar el certificado de otro, y las CRL relacionadas, para realizar operaciones de clave pública. Debe existir un protocolo estándar que permita acceder a los certificados de otros usuarios y a la información pertinente sobre la revocación. Esto incluye la creación de certificados digitales de clave pública y listas de revocación de certificados para supervisar el estado del certificado y la interoperabilidad con otras aplicaciones cliente y otras PKI.
El certificado seguirá funcionando hasta que expire su validez (la norma actual es de 398 días, lo que promueve un programa de mantenimiento anual con un pequeño colchón).
La gestión de claves y certificados es la tarea más común de la gestión de certificados. Los protocolos de presentación, actualización, copia de seguridad, restauración y revocación de claves y certificados requieren la interoperabilidad entre las aplicaciones de los clientes y la Autoridad de Certificación. Algunos sistemas de gestión de certificados permiten la renovación automática de los certificados dentro de un periodo especificado previo a su expiración.
Mientras que algunos proveedores ofrecen gestión del ciclo de vida con sus certificados, los "verdaderos proveedores del ciclo de vida" proporcionan certificados integrados firmados digitalmente por múltiples CA.
El administrador debe renovar el certificado con la Autoridad de Certificación que lo emitió o revocarlo y comprar uno nuevo para instalarlo en el endpoint.
En primer lugar, ofrece a los administradores información de un vistazo sobre los certificados y su estado, y proporciona respuestas rápidas a preguntas esenciales, como:
En segundo lugar, la supervisión minuciosa de los certificados garantiza que no haya ningún punto ciego en el sistema, lo que permite a los administradores evitar interrupciones al prevenir preventivamente los vencimientos.
La autenticación en el momento de la transacción consiste en verificar si el certificado es legítimo con la CA o con un servidor. Esto se hace en línea desde la pantalla del receptor. Si el certificado está retirado, el receptor no va a hacer negocios basándose en él.
Cada certificado sólo es válido durante un periodo de tiempo limitado. Este periodo se describe mediante una fecha y hora de inicio y una fecha y hora de fin, y puede ser tan corto como unos segundos o tan largo como un siglo. El periodo de validez elegido depende de varios factores, como la solidez de la clave privada utilizada para firmar el certificado o el importe que se pague por él.
Es el periodo previsto durante el cual las entidades pueden confiar en el valor público si la clave privada asociada no se ha visto comprometida.
Diversas circunstancias pueden provocar que un certificado deje de ser válido antes de que expire el periodo de validez. Estas situaciones incluyen un cambio de nombre, un cambio de relación entre el sujeto y la CA (por ejemplo, un empleado deja de trabajar para una organización), y el compromiso o supuesto compromiso de la clave privada relacionada. En estos casos, la CA debe retirar el certificado.
La gestión de certificados también consiste en la tarea clave de revocar certificados.
Los certificados X.509 ofrecen un mecanismo para revocar certificados antes de su fecha de caducidad programada. En este proceso, la CA emisora publica periódicamente una estructura de datos firmada denominada Lista de revocación de certificados (CRL). La CRL es una lista con fecha y hora que contiene información sobre los certificados que han sido revocados por la CA emisora o por un titular de CRL designado. Esta lista incluye el número de serie de cada certificado revocado y se pone a disposición del público a través de un repositorio.
Una ventaja de este enfoque de revocación es que las CRL pueden distribuirse, a través de servidores y comunicaciones no fiables, por los mismos medios que los propios certificados.
Un inconveniente del método de revocación de CRL: la CRL no se modificará hasta que todas las notificaciones de CRL actuales estén programadas para modificarse cuando se emita una única revocación.
Puede ser de hasta una hora, un día o una semana, dependiendo de la frecuencia con la que se publiquen las CRL.
Los enfoques de notificación de revocación en línea podrían estar disponibles como alternativa a la CRL X.509 en entornos específicos.
Se considera que el estado de un certificado ha cambiado si se revoca o se pone en espera. A continuación se explica cada condición.
Un certificado se revoca de forma irreversible si, por ejemplo, se descubre que la autoridad de certificación (CA) ha emitido un certificado indebidamente, o si se cree que una clave privada ha sido comprometida. Los certificados también pueden revocarse si la entidad identificada no cumple los requisitos de la política, como la publicación de documentos falsos, la tergiversación del comportamiento de software o la violación de cualquier otra política especificada por el operador de la CA o su cliente.
La razón más común para la revocación es que el usuario ya no está en posesión exclusiva de la clave privada (por ejemplo, el token que contiene la clave privada se ha perdido o ha sido robado).
Este estado reversible puede utilizarse para señalar la invalidez temporal del certificado (por ejemplo, si el usuario no está seguro o si ha perdido la clave privada). En este ejemplo, se ha encontrado la clave privada y nadie ha tenido acceso a ella, se puede restablecer el estado y el certificado vuelve a ser válido, con lo que se elimina el certificado de futuras CRL.
Una gestión inadecuada de los certificados puede tener efectos negativos, como el tiempo de inactividad de los dispositivos, el aumento de los costes de respuesta a incidentes y la posibilidad de perjudicar a la marca.
En las siguientes secciones se explican los dos riesgos más importantes en la gestión de certificados:
Los certificados caducan, ya sea por falta de conocimientos o de supervisión, pero se trata de un error muy costoso que conviene evitar.
"De media, a las grandes organizaciones les cuesta 15 millones de dólares cada interrupción del servicio de certificados. Además, hay consecuencias para la seguridad y la reputación de la marca, incluida una disminución de la confianza de los clientes y de las ventas."
Uno de los aspectos más críticos para minimizar el riesgo de identidades digitales no reconocidas es conocer la fecha de caducidad de todos sus certificados.
Si no se renuevan los certificados a tiempo, pueden producirse cortes en el sistema.
Algunos navegadores permiten a los usuarios acceder por su cuenta y riesgo a sitios con certificados no fiables. Acceder habitualmente a un servidor con un certificado caducado puede condicionar a los usuarios a "hacer clic" en las advertencias, haciéndoles así más susceptibles a los ataques man-in-the-middle, en los que un atacante potencial se hace pasar por un servidor legítimo.
Por desgracia, demasiadas empresas siguen utilizando procesos manuales de gestión de certificados que dejan sus datos más valiosos expuestos a infiltraciones. La gestión de certificados mediante flujos de trabajo de procesos manuales, como hojas de cálculo, casi siempre conduce a la incapacidad de dar cuenta de todos los certificados PKI.
Por lo tanto, cuando un certificado se distribuye en un entorno heterogéneo de múltiples nubes, la información como ubicaciones, propietarios, aplicaciones asociadas, fechas de caducidad y firmas debe registrarse con diligencia.
La transformación digital ha dado lugar a un número récord de dispositivos conectados. Cada dispositivo que se conecta a internet o a la red pública necesita al menos un certificado digital para funcionar de forma segura.
A medida que el alcance del certificado se amplía a dispositivos, contenedores e IoT, necesitará utilizar la gestión automatizada de certificados para evitar fallos del sistema y aumentar la eficiencia del proceso. Esta es la mejor forma de protegerse frente a los certificados falsos: certificados válidos que se han visto comprometidos.
Aunque algunas de las empresas de ciberseguridad más fiables ofrecen servicios automatizados de gestión de certificados, algunas organizaciones siguen confiando en procedimientos manuales de seguimiento de certificados basados en hojas de cálculo.
Por el contrario, los gestores de seguridad proactivos utilizan una gestión sistemática del ciclo de vida y enfoques centrados en el descubrimiento para evaluar el número de certificados desplegados y el tiempo que falta para que caduquen. Ofrecen soluciones de gestión de certificados a tiempo completo y automatización inteligente del flujo de trabajo a entornos empresariales complejos basados en certificados.
A menudo nos referimos a los certificados digitales como certificados de clave pública, ya que los certificados SSL se componen de una clave privada y un par de claves públicas.
SSL es el estándar para una conexión cifrada entre un navegador y un servidor web. El enlace cifrado utiliza la encriptación para enmascarar los datos entre dos partes, de modo que los datos se mantienen en privado y sin cambios.
SSL son las siglas de Secure Sockets Layer, un protocolo criptográfico ya obsoleto que sólo ha conservado su nombre en el uso cotidiano. Todos los certificados SSL son técnicamente certificados TLS , siendo TLS el sucesor de la tecnología SSL . TLS o Transport Layer Security es un protocolo más avanzado y seguro que ha sido la tecnología de cifrado estándar durante más de una década.
También ha cambiado la forma de utilizar TLS . El periodo de validación de los certificados públicos ha disminuido de dos años a poco más de un año, con lo que el tiempo extra se destina a promover la gestión anual de certificados de SSL . Para minimizar las interrupciones causadas por la expiración de certificados gestionados manualmente, primero debe obtener una visión completa de todos los certificados de su PKI. A continuación, intente automatizar en la medida de lo posible los procesos de gestión del ciclo de vida de sus certificados.
Los responsables de seguridad deben asegurarse de que conocen y gestionan un repositorio escalable de certificados. Aunque la gestión de certificados externos puede realizarse con métodos manuales como hojas de cálculo, los responsables de seguridad deberían simplificar su enfoque con una solución de gestión de certificados. Puede incluir la reducción del tiempo dedicado a la gestión de certificados digitales e impulsar el ahorro de costes maximizando las compras en SSL / TLS .
En general, si los responsables de TI tienen varios cientos de certificados de varias CA, recomendamos encarecidamente el uso de la gestión de certificados software.
A medida que las empresas siguen aumentando el uso de aplicaciones móviles, ya sean corporativas o internas, la identificación de los usuarios sigue siendo esencial. Por lo tanto, cuando los responsables de seguridad aceptan métodos basados en certificados para proteger e identificar sus dispositivos móviles, deben garantizar una gestión sólida y detallada de todo el ciclo de vida de sus certificados.
La herramienta de gestión de certificados debe descubrir los certificados emitidos por las soluciones móviles para los casos de gestión integral de certificados.
Debe determinar las ventajas de los sistemas de gestión de certificados y los recursos que aplican soluciones de accesibilidad.
Las organizaciones deben tener en cuenta muchos factores antes de embarcarse en iniciativas de IoT . Al considerar los métodos de identidad y autenticación basados en certificados de IoT, los responsables de seguridad buscarán soluciones con sistemas de gestión de certificados integrados o interoperables. Aunque se trata de un campo nuevo y en evolución, es posible que algunos responsables de seguridad prefieran implantar plataformas IoT creadas expresamente con sistemas PKI estrechamente integrados con gestión de certificados integrada.
Estos sistemas pueden ser independientes de los sistemas PKI corporativos o internos, y los certificados pueden no regirlos. Las organizaciones necesitarán sistemas de gestión de certificados, software, y técnicas que permitan que las iniciativas y estrategias IoT basadas en certificados optimicen y amplíen sus plataformas PKI actuales.
A medida que DevOps y la virtualización continúan expandiéndose, los líderes de seguridad necesitan reconocer la protección e integridad de estos ecosistemas en rápida evolución.
Mientras que algunos métodos utilizan la identificación de contenedores, el uso de certificados digitales es un enfoque.
Sin embargo, la naturaleza robusta y elástica de los contenedores los hace inviables para los métodos manuales de gestión de certificados.
Cuando los responsables de seguridad y sus organizaciones confían en los certificados para permitir una amplia variedad de aplicaciones empresariales críticas, la gestión integral se convierte rápidamente en una necesidad.
de certificados, entonces los responsables de seguridad tendrían que considerar el uso de un enfoque de gestión de certificados por encima de los métodos basados en hojas de cálculo.
Las aplicaciones PKI automatizadas deben tener acceso para actualizar sus claves por ellas rápidamente. Las soluciones automatizadas de SSL permiten a los administradores:
Estos detalles desempeñan un papel esencial en la recuperación porque ayudan a permitir una recuperación escalable o automatizada de acciones potencialmente maliciosas.
Enterprise Certificate Management es la solución ideal para ayudar a las empresas a proteger una amplia gama de sitios web, incluidos:
Sitios Intranet:
Proteja la información confidencial de su empresa en los sitios web internos.
Acceso VPN:
Mejore la experiencia del usuario con acceso Wi-Fi sin contraseña, al tiempo que mejora la seguridad y garantiza que sólo los usuarios autorizados tengan acceso a su red.
Sistemas de punto de venta (TPV):
Proteja los sistemas de punto de venta y asegúrese de que sólo los terminales de punto de venta autorizados puedan conectarse a su sistema de pago.
Dispositivos de red:
Mejorar la seguridad de la autenticación de los conmutadores y enrutadores de red.
Internet de los objetos (IoT):
Automatice la instalación y gestión de certificados en los dispositivos integrados conectados.
DevOps:
Garantizar la identidad e integridad de los contenedores, el código que contienen y las aplicaciones de producción que utilizan ese código.
Nube / Multi-nube:
Aplicaciones seguras basadas en la nube e instancias de servidores virtuales, en un único proveedor de nube o en varios proveedores, para entornos de uno o varios inquilinos.
Cifrado Firma de correo electrónico:
Asegúrese de que los correos electrónicos se envían desde el remitente previsto, protegiéndose contra vectores de fraude como el phishing y el Business Email Compromise (BEC).
Desarrollo de aplicaciones:
Firme digitalmente software para proteger a los usuarios finales de descargas e instalaciones comprometidas software.
Dispositivos móviles:
Mejore la seguridad y la confianza de las aplicaciones móviles y las máquinas en las que funcionan.
Tranquilidad:
Nadie quiere sufrir el próximo desastre de una red de bots.
