Si somos honestos, Google ha estado intimidando a Internet para que tome decisiones durante la mayor parte de dos décadas (como Registros de transparencia de certificados). Más recientemente, anunciaron que van a exigir que todos los certificados deben rotarse cada 90 días. Esta nueva política tiene ramificaciones importantes para los ingenieros de identidad y, en este artículo, analizaremos las implicaciones de este mandato para los profesionales de la seguridad cotidianos.
Certificados - [certificados SSL/TLS] (https://www.keytos.io/blog/autoridad-de-certificacion/ssl-vs-tls) en particular: sirven como prueba de la identidad de un sitio web y cifran los datos transmitidos entre el sitio web y sus visitantes. Con el tiempo, a medida que los algoritmos criptográficos envejecen y se descubren vulnerabilidades, estos certificados pueden volverse menos seguros. Google exige que los sitios automaticen la rotación para garantizar que, incluso si un certificado está comprometido, tenga una vida útil corta, lo que hace que la ventana de oportunidad para los actores maliciosos sea increíblemente estrecha.
El principal factor motivador detrás del plazo de 90 días es la seguridad. Los certificados de corta duración reducen el riesgo de exposición si la clave privada de un certificado se ve comprometida. También fomentan la automatización a través de ACME, ya que el proceso de renovación más frecuente puede resultar engorroso si se realiza manualmente.
Sin embargo, hay otro beneficio mucho más sutil… anima a las empresas a permanecer muy alerta. La actualización periódica de los certificados significa que las empresas deben asegurarse constantemente de que sus sistemas sean compatibles y estén actualizados. Este tipo de rutina puede reforzar otras prácticas de seguridad y llamar la atención sobre sistemas obsoletos o vulnerables.
Mayor automatización: con la rotación de 90 días, las renovaciones manuales de certificados se vuelven poco prácticas. Esto impulsará a las empresas a adoptar soluciones automatizadas de gestión de certificados. Herramientas como Let’s Encrypt, que ya ofrece certificados SSL automatizados y gratuitos, podrían experimentar un aumento en su adopción. También existen soluciones sorprendentes como nuestra propia EZCA, que permite la automatización e integración perfecta de certificados basados en Azure.
Monitoreo mejorado: las rotaciones más frecuentes significan que las soluciones de monitoreo deberán ser más sólidas. Los profesionales de la seguridad deberán garantizar que las renovaciones de certificados se realicen correctamente y que no se produzcan interrupciones en el servicio debido a certificados caducados.
Consideraciones presupuestarias: Dependiendo del proveedor de certificados, las renovaciones frecuentes pueden tener implicaciones de costos. Los profesionales tendrán que considerar las limitaciones presupuestarias al seleccionar proveedores o pueden optar por soluciones gratuitas y automatizadas.
Educación continua: Los equipos de TI y seguridad deberán estar actualizados con las mejores prácticas relativas a la gestión de certificados, garantizando que las rotaciones se realicen sin problemas sin afectar la experiencia del usuario.
Relaciones con proveedores: las organizaciones que dependen de soluciones de terceros deberán asegurarse de que sus proveedores cumplan con estos estándares, lo que agrega otra capa a las prácticas de gestión de proveedores. La mayoría de las organizaciones optan por subcontratar PKI a terceros como Keytos, que son expertos en automatización y cumplimiento.
Resiliencia operativa: siempre existe un riesgo asociado con las actualizaciones y los cambios. Las organizaciones necesitarán crear operaciones resilientes que puedan abordar rápidamente cualquier desafío o interrupción que surja de las frecuentes rotaciones de certificados.
El mandato de rotación de certificados de 90 días de Google es un paso importante hacia la mejora de la seguridad web. Si bien conlleva una serie de desafíos, fomenta un enfoque proactivo de la seguridad que, a largo plazo, beneficiará tanto a las empresas como a sus usuarios. Para el profesional de la seguridad cotidiano, este cambio significa adaptarse a un enfoque más riguroso, automatizado y continuo para la gestión de certificados. Como ocurre con todos los cambios, la flexibilidad y la adaptabilidad serán las claves para navegar con éxito en este nuevo terreno. Permítanos indicarle algunas lecturas más útiles. ¡Consulte el blog a continuación para obtener más información sobre los certificados, la administración y la automatización!