OpiniónInfraestructuras

La importancia de la supervisión de los certificados SSL/TLS para proteger su presencia digital

Por Vasudevan Seshadri, Director de Producto, ManageEngine

 

En los últimos seis meses, el tráfico de Internet se ha duplicado a medida que las empresas se han ido conectando para mantener sus operaciones. Casi todas las organizaciones dependen ahora de la transferencia de datos para mantener las operaciones habituales junto con las funciones de misión crítica.

En el sector de la salud, el flujo de datos a través de Internet permite a los principales sistemas sanitarios prestar atención rutinaria y hacer funcionar equipos médicos críticos que salvan vidas.

Sin embargo, esta transferencia segura de datos, que es la savia de todas las empresas, se está poniendo en peligro por una mala gestión de los certificados de seguridad de los sitios web, lo que provoca cortes imprevistos de su funcionamiento, lo que puede causar un daño inmenso a la eficiencia operativa y la reputación de una organización.

De ser solo http en el pasado, la mayor parte de Internet está ahora asegurada con https. Los principales proveedores de navegadores han desempeñado un papel importante en la seguridad de Internet al obligar a los sitios web a implementar certificados SSL/TLS que garantizan que los datos en tránsito entre los servidores y los clientes estén protegidos de los piratas informáticos mediante el cifrado. Los certificados SSL/TLS desempeñan un papel importante en todo esto. Hay muchas autoridades de certificación (CA) comerciales, como Digicert, Sectigo y muchas otras, que distribuyen certificados digitales aceptados y de confianza por los navegadores de todo el mundo. También hay proveedores gratuitos basados en ACME como Let's Encrypt, BuyPass y FreeSSL.

La oleada de certificados SSL/TLS de corta duración

En el pasado, los proveedores comerciales expedían certificados con una validez relativamente larga, de entre dos y cinco años. Esto era conveniente para la implementación, pero menos seguro. Dados los problemas de seguridad que plantean los certificados de mayor duración, los navegadores Safari de Apple y Chrome de Google ya no confían en los certificados SSL/TLS con una validez superior a 398 días. (Esto equivale a un certificado de un año más el periodo de gracia de renovación). Los proveedores basados en ACME, como Let's Encrypt, emiten certificados con una validez de 90 días.

La caducidad imprevista de los certificados supone un gran problema para los negocios en línea

Según un estudio reciente del Instituto Ponemon, el 73% de las organizaciones han sido víctimas de interrupciones inesperadas de los certificados, y el 55% de las organizaciones se han enfrentado a cuatro o más interrupciones relacionadas con los certificados solo en los últimos dos años. Cuando un certificado SSL/TLS vinculado a su dominio empresarial caduca, los navegadores marcan su sitio web como no seguro para que los visitantes compartan sus datos personales. Esto se debe a que cuando un certificado caduca, deja de ser válido por su autoridad emisora de certificados, poniendo en peligro el cifrado y la autenticación mutua, que constituyen los pilares de la seguridad en Internet. El mayor impacto al que se enfrentan las organizaciones debido a estas caducidades imprevistas de los certificados es la pérdida de credibilidad de la marca entre su clientela. Las advertencias rojas de seguridad lanzadas por empresas de navegación de indiscutible autoridad, como Google y Apple, ensombrecen la reputación que se ha forjado una empresa, lo que hace que los visitantes se dirijan a sitios web alternativos, provocando finalmente una caída del tráfico web.

En el pasado reciente se han producido incidentes importantes en los que no se renovaron los certificados y las empresas dejaron de funcionar, como la caducidad del certificado SSL de LinkedIn, la interrupción de Microsoft Teams, etc. Una razón común por la que las organizaciones pasan por alto la caducidad de los certificados es la falta de automatización. El reto es mínimo para las pequeñas y medianas empresas (PYMES) que operan desplegando un puñado de certificados (como máximo) para llevar a cabo sus operaciones comerciales. Mientras que, por otro lado, las grandes empresas experimentan un escenario diferente con una infraestructura de TI relativamente más grande de redes en expansión y una miríada de dispositivos conectados. Es a esta escala cuando la supervisión y la automatización centrales se vuelven cruciales. Las empresas necesitan esencialmente identificar las lagunas de visibilidad, crear y agilizar un flujo de trabajo de gestión de certificados que se ajuste a sus necesidades y a la disponibilidad de recursos. El inventario de certificados, las comprobaciones de validez, la notificación a los propietarios de los certificados para su oportuna renovación y despliegue, y la exploración periódica en busca de vulnerabilidad sirven como bloques de construcción para una mejor gestión de los activos digitales críticos para garantizar un servicio ininterrumpido a los clientes.

No solo para aplicaciones web de cara al público

No cabe duda de que la gestión de los ciclos de vida de los certificados SSL/TLS es de suma importancia para garantizar el tiempo de actividad en sectores como el comercio electrónico y otras aplicaciones web públicas. Sin embargo, el alcance de los certificados SSL/TLS va mucho más allá de los negocios en línea. La gravedad de las interrupciones causadas por certificados caducados es crítica en sectores como el de la sanidad, ya que hay vidas en juego si los equipos fallan. Imagínese la caducidad de un certificado para un sistema que proporciona instrucciones a un ventilador, la caída de un servicio en la nube mientras se obtienen los datos del paciente para determinar el siguiente tratamiento, o sistemas críticos como los servicios de imagen durante las cirugías.  La proliferación del uso de certificados y la reducción de los periodos de validez no hacen más que reiterar la necesidad de gestionar los certificados, que ha pasado de ser algo "bueno" en el pasado a algo "imprescindible".

Otra área en la que la gestión de certificados está ganando una mayor tracción es la de DevOps. La importancia de los certificados de firma de código en DevOps fue impulsada por la reciente manipulación de las actualizaciones de productos de software populares. Los proveedores de software se ven obligados a aplicar medidas de seguridad mucho más estrictas para garantizar que el software distribuido no esté infectado con código malicioso. La generación de claves y certificados únicos para cada paquete de software, almacenamiento seguro de estos activos digitales y la gestión de la validez de los certificados son importantes para garantizar que los productos/paquetes son seguros y a prueba de manipulaciones. Es mejor evitar la reutilización de las mismas claves y certificados para múltiples productos/paquetes para minimizar el vector de ataque.

Dada la creciente dependencia digital y la necesidad de mantener seguras las comunicaciones web, las empresas de casi todos los sectores deben prestar la máxima atención a la gestión eficaz de los certificados SSL/TLS. Dado que los períodos de validez de los certificados son ahora relativamente cortos, resulta aún más abrumador para las empresas supervisar manualmente el uso y los ciclos de vida de los certificados, lo que incluye mantener un inventario central de certificados, agilizar las comprobaciones de validez, avisar a los propietarios de los certificados para que los renueven y los desplieguen a tiempo, y realizar escaneos periódicos para detectar y remediar las vulnerabilidades en la configuración de SSL/TLS, etc. La automatización de la gestión de certificados es claramente la necesidad del momento para cualquier empresa que esté interesada en reforzar la reputación y credibilidad de su marca en línea, ya que si no lo hace, provocará la desconfianza de las principales empresas de navegación y, en el peor de los casos, incluso la violación de datos. Si no se automatiza la gestión de certificados, cualquier organización podría descubrir rápidamente que ya no cuenta con la confianza de los principales navegadores o socios comerciales, o que no puede compartir o utilizar sus datos, incluso en los sistemas más críticos.

Computing 815