Home » Gestión de certificados digitales
https para conexiones seguras
Categories

Gestión de certificados digitales

Este artículo explica una historia breve de los certificados digitales y cómo con el paso de los años su gestión se ha ido haciendo más exigente. Descubre los peligros de una mala gestión de los mismos leyendo el artículo completo.

La gestión de certificados digitales es un aspecto crucial en las empresas. Parece ser un tema que muchos asumen sencillo, predeterminado o algo de interés exclusivo de los webmasters. ¿Eso crees? ¿Piensas que hay algún peligro en una gestión inadecuada de los certificados digitales? Te invito a leer el artículo para que descubras más al respecto.

Introducción

En el mundo digital que sustenta nuestras comunicaciones y transacciones en línea, los certificados digitales son los guardianes de la seguridad. Emitidos por Autoridades Certificadoras externas, estos certificados actúan como sellos digitales, validando la identidad y cifrando la información en tránsito. Sin embargo, una consideración crítica en este proceso es la duración de dichos certificados.

Los certificados digitales tienen un período de validez predeterminado, y tradicionalmente, las empresas han optado por certificados de larga duración para evitar el proceso frecuente de renovación. No obstante, esta práctica, aparentemente conveniente, ha dado paso a una serie de riesgos de seguridad, especialmente cuando se gestiona manualmente.

Error común de certificados SSL/TLS vencidos

En este contexto, exploraremos los peligros subyacentes de los certificados digitales de larga duración y la gestión manual asociada. Desde la exposición a ataques de llaves privadas hasta las consecuencias empresariales de compromisos de seguridad, examinaremos detenidamente la necesidad apremiante de adoptar enfoques automatizados en la gestión de certificados digitales. Acompáñanos en este viaje para comprender los desafíos y soluciones cruciales en el complejo paisaje de la seguridad digital.

Cambio en las reglas de juego

Hace unos años atrás, el foro de Autoridades Certificadoras y fabricantes de navegadores Web, CA/Browser forum, decidió reducir la duración de los certificados digitales de 3 años a solo 2 (27 meses para ser preciso). Este cambio se hizo efectivo a partir del 1ro. de Marzo del 2018, como se puede leer en este enlace.

Tiempo después, a partir del 1ro. de Setiembre del 2020, la duración de los certificados se redujo ahora de 2 años a solo 1 (397 días para ser exacto), como se informa en este otro enlace.

En Marzo de este año 2023, Google (quien posee casi 64% de cuota de mercado con su navegador) anuncia que próximamente estará proponiendo reducir aún más la validez de certificados: a 90 días. Ver la nota aquí.

Como se puede apreciar, la tendencia es hacia la reducción en los tiempos de duración de los certificados digitales. Así que, esta tendencia no es nada nuevo, ya viene de años atrás, pues incluso antes del 2015 era posible emitir certificados de 5 años de validez. ¡Increíble!

Entonces ¿A qué se debe esta tendencia?

Las razones de fondo

Cibercriminal al acecho de las vulnerabilidades en las empresas

A mayor duración de un certificado, menos confiable en términos de seguridad es. ¿Por qué? Simplemente por la creciente ocurrencia de ataques y presencia de amenazas tales como:

  1. Ataques de fuerza bruta:Con certificados de larga duración, un atacante podría tener más tiempo para realizar ataques de fuerza bruta contra las claves privadas asociadas, intentando adivinar la clave.
  2. Compromiso de llaves privadas a largo plazo:Si la clave privada asociada a un certificado de larga duración se ve comprometida, el atacante tiene un periodo más extenso para realizar actividades maliciosas antes de que el certificado expire o sea revocado.
  3. Ataques de Man-in-the-Middle (MitM):Certificados de larga duración pueden ser utilizados en ataques de MitM, donde un atacante intercepta y manipula la comunicación entre dos partes. La duración más extensa del certificado podría facilitar este tipo de ataques.
  4. Exposición a debilidades criptográficas a largo plazo:Certificados de larga duración pueden estar expuestos a debilidades criptográficas que podrían surgir con el tiempo, especialmente si la tecnología subyacente se vuelve obsoleta o se descubre una vulnerabilidad en los algoritmos utilizados.
  5. Problemas de gestión de llaves a largo plazo:A medida que pasa el tiempo, la gestión de llaves y certificados puede volverse más compleja, aumentando la probabilidad de errores y problemas de seguridad si no se realiza adecuadamente.
  6. Mayor Impacto en caso de compromiso:Si un certificado de larga duración es comprometido, el impacto potencial podría ser más significativo debido al extenso periodo durante el cual el certificado es válido.
  7. Incumplimiento de normativas de seguridad:Algunas normativas y estándares de la industria (por ejemplo, PCI DSS, GDPR) pueden requerir prácticas de seguridad específicas, y la utilización de certificados de larga duración podría no cumplir con estos requisitos.
  8. Exposición a ataques de certificados vencidos o no válidos:Certificados de larga duración pueden volverse vulnerables a ataques que se aprovechan de certificados caducados o no válidos, especialmente si no se realiza una gestión de certificados adecuada.

Los ataques que se pueden hacer efectivos

Los certificados digitales en sí no son el destino de los atacantes, sino un primer paso que esperan cumplir para poder concretar alguno de estos otros tipos de ataques como segundo paso:

  1. Interceptación y/o manipulación de comuncaciones seguras
  2. Suplantación de identidad (phishing)
  3. Inyección de contenido malicioso
  4. Secuestro de sesiones (hijacking)
  5. Falsificación de firmas digitales
  6. Distribución de software malicioso

¿Consecuencias? Pueden ser muchas, pero principalmente serán la pérdida de confianza de clientes, impacto negativo en la imagen de empresas y marcas, interrupción de servicios y todo lo anterior acarrea usualmente considerables pérdidas económicas.

Entonces, ¿qué debemos hacer?

Preocupación ante no saber qué hacer

Existen algunas opciones que las empresas pueden tomar en cuenta para poder remediar estos riesgos en la gestión de sus certificados digitales. Esto será materia de diferentes artículos que publicaré próximamente, pero puedo adelantar estas alternativas:

  1. Implementación de una Autoridad Certificadora interna dentro de la organización
  2. Gestión de certificados de corta duración, 90 días como lo sugiere Google.
  3. Emplear técnicas de automatización para la gestión de certificados digitales.
  4. Usar alguna herramienta o servicio Cloud que simplifique la gestión de los certificados digitales.
  5. Combinar una o más de las 4 alternativas anteriores.

Definitivamente, todo nos lleva a realizar cambios en los procesos y uso de herramientas tecnológicas para intentar reducir al mínimo posible la duración de los certificados digitales y así reducir también los riesgos a los que se exponen las organizaciones.

Conclusión

En esta guía intenté resumir la información básica sobre los certificados digitales y el rol clave que juegan en la seguridad de nuestras comunicaciones. Luego expliqué por qué cada vez estos certificados duran menos tiempo y la tendencia que viene desde hace algunos años. Posteriormente, revisamos algunos de los peligros más comunes de usar certificados de larga duración y las consecuencias que puede tener en nuestros negocios. Por último, planteé algunas opciones de cómo remediar esta situación.

Si te gustó este artículo, no dudes en compartirlo. Necesitamos que más personas y empresas conozcan este tipo de información para que sepan cómo protegerse.

Si estás interesado en llevar a cabo algunas de las medidas correctivas que propuse y no sabes cómo, puedo ayudarte. Contáctame y concreta una reunión conmigo para conversar al respecto.

Post navigation

Deja un comentario

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *