En los últimos meses, hemos realizado cientos de evaluaciones del estado de SSL en empresas de todo el mundo. Lamentablemente, los resultados suelen indicar que las empresas todavía tienen mucho trabajo por hacer para cumplir con nuestros requisitos de seguridad en todos sus dominios. Sin embargo, hubo una empresa que después de realizar el escaneo obtuvo una calificación de “A” en la mayoría de sus dominios, tuve que realizar el escaneo nuevamente porque no podía creer lo que estaba viendo. Durante nuestra reunión en la que repasábamos los resultados con su equipo de IT, les dije que estaba impresionado con sus resultados y que eran la mejor empresa que jamás hayamos analizado. Su respuesta fue la mayor sorpresa que recibí, en lugar de hablar de cómo habían invertido mucho tiempo para asegurarse de que sus certificados SSL estuvieran actualizados y tuvieran un equipo completo revisando el estado de sus certificados, simplemente se miraron entre sí y dijo: “Creo que el certificado gratuito al que nos mudamos hace unos meses fue una buena decisión”. Esto nos muestra que la mejor manera de proteger nuestros puntos finales no es contratar a un grupo de expertos y administrar la seguridad manualmente, sino eliminar al ser humano de la ecuación y automatizar la seguridad.
Bueno, después de leer esto, se preguntará cuál es esta nueva tecnología que esta empresa utilizó para automatizar la emisión de certificados y la respuesta es que estaban emitiendo certificados Let’s Encrypt utilizando el protocolo ACME. Este protocolo ha sido ampliamente adoptado por la comunidad y existen complementos para la mayoría de las opciones de alojamiento web (como Kubernetes, IIS, servidores web Apache, AWS, Azure y más). para emitir y rotar certificados automáticamente usando ACME. Permitir a los ingenieros de DevOps configurar y olvidar sus certificados SSL, eliminando por completo al ser humano de la ecuación y evitando las costosas interrupciones relacionadas con SSL que el 80% de las organizaciones han experimentado en los últimos 2 años.
La popularidad de ACME ha aumentado exponencialmente en los últimos 5 años y actualmente lo utilizan más de 260 millones de sitios web en todo el mundo para emitir sus certificados SSL. Sin embargo, esta asombrosa tecnología actualmente no es compatible con la PKI de Microsoft que ofrece ADCS, lo que significa que los ingenieros aún necesitan administrar manualmente sus certificados SSL internos. Costando a las empresas millones de dólares en horas de ingeniería desperdiciadas e interrupciones.
Nuestra herramienta EZCA le permite ampliar su PKI existente para emitir certificados con el protocolo ACME y, al mismo tiempo, le brinda visibilidad completa de todos los certificados de su organización. Permitir que sus ingenieros se autoautomaticen en las tareas de administración de certificados que interfieren con sus funciones laborales principales y, al mismo tiempo, brindarle a su equipo de seguridad visibilidad total de todos los certificados de su organización, lo que les permite encontrar problemas antes de que se conviertan en un problema mayor.
EZCA ofrece una manera fácil de configurar una CA ACME segura en minutos. Puede modernizar su CA ADCS conectándose a EZCA Una vez creada su CA, siga estos pasos para habilitar la emisión de certificados ACME en su cuenta privada red.
Una vez que haya creado su ACME CA, estará listo para comenzar a crear certificados ACME. Dado que EZCA funciona con el protocolo ACME nativo, cualquier cliente ACME puede solicitar certificados de EZCA. Consulte ejemplos de emisión de ACME con EZCA.
Configurar una CA privada con soporte ACME puede ser un proceso complejo y existen varios desafíos y dificultades que puede encontrar a lo largo del proceso el camino. A continuación, se incluyen algunos problemas comunes que debe tener en cuenta y consejos para superarlos:
1) Garantizar una comunicación segura y confiable entre el cliente y el servidor ACME: uno de los desafíos clave al configurar una CA ACME privada es garantizar que el servidor pueda validar dominios en su red privada. Esto requiere una configuración cuidadosa de la configuración de red, firewalls y otras medidas de seguridad.
2) Gestión de la revocación y renovación de certificados: con ACME, los certificados se renuevan automáticamente cuando se acerca su fecha de vencimiento. Sin embargo, si un certificado se ve comprometido o es necesario revocarlo, deberá tomar medidas para asegurarse de que los clientes ya no confíen en él. Esto requiere una gestión cuidadosa de las listas de revocación de certificados (CRL) y otros aspectos del ciclo de vida del certificado.
3) Garantizar el cumplimiento de los estándares regulatorios e industriales: dependiendo de su industria y ubicación, puede estar sujeto a varios estándares regulatorios e industriales que afectan la forma en que administra su CA y emite certificados. Es importante asegurarse de que su CA ACME esté configurada de manera que cumpla con estos requisitos para evitar posibles problemas de cumplimiento.
Para ayudar a superar estos desafíos y garantizar que su ACME CA esté configurada correctamente, se recomienda trabajar con un proveedor confiable como EZCA, que tiene experiencia en ayudar a las organizaciones a configurar y administrar CA seguras y que cumplan con las normas.
Para obtener más información sobre cómo puede automatizar el ciclo de vida de su certificado programe una consulta PKI gratuita con uno de nuestros expertos hoy.
