ACME: Presentamos el entorno de gestión automática de certificados de GlobalSign
La versión inicial del servicio ACME ofrecerá certificados SSL/TLS con validación de dominio (DV) para los clientes de GlobalSign y constituye un paso clave en la automatización de los ciclos de vida SSL/TLS y una estrategia innovadora de gestión de las estructuras PKI.
ACME fue creado por el Internet Security Research Group (ISRG) y concretado en la norma RFC 8555. Su uso generalizado contó con el impulso de Let’s Encrypt, la Autoridad de Certificación (AC) gratuita de código abierto. Con el lanzamiento de ACME v2, la funcionalidad del protocolo no ha hecho más que aumentar y actualmente GlobalSign utiliza este sistema por su facilidad de uso y comodidad.
Tras completar las pruebas beta, GlobalSign se alegra de lanzar la primera versión de su Servicio ACME, que ofrecerá certificados SSL/TLS con validación de dominio (DV) a los clientes. Esto constituye un importante primer paso hacia la automatización del ciclo de vida SSL/TLS y abre la puerta a estrategias de automatización de mayor alcance para la gestión de toda la Infraestructura de Clave Pública (PKI).
La pregunta es, ¿por qué ACME?
Si ha instalado alguna vez un certificado SSL/TLS, sabrá que, sin automatización, el proceso es tedioso. Es necesario crear una Solicitud de Firma de Certificado (CSR) desde el servidor y después, copiarla y pegarla en el campo correspondiente de la AC. A continuación, se valida manualmente el dominio, normalmente actualizando el sitio web o el registro DNS con el valor especificado por la Autoridad de Certificación (AC). Después, hay que esperar a la emisión del certificado, trasladar el certificado al servidor en el que se va a instalar, instalarlo y comprobar que la configuración es correcta. Este proceso puede demorarse hasta 40 minutos para un único sitio web. En contextos a gran escala, el trámite consume un tiempo y recursos considerables.
Con el protocolo ACME, este panorama cambia radicalmente. ACME permite provisionar certificados SSL/TLS para cualquier servidor en el que haya instalado un agente ACME, incluidos equipos ajenos a Microsoft. Tras instalar y configurar el agente ACME, el Servicio ACME de GlobalSign se encarga del resto: desde la generación de la CSR hasta la validación del dominio, pasando por la instalación del certificado. Todo ello de forma silente y en segundo plano.
Veamos ahora las ventajas del Servicio ACME de GlobalSign.
Let’s Encrypt es una solución genial. Son los impulsores de ACME y ofrecen un servicio de incalculable valor al resto de Internet. Sin embargo, las grandes empresas y los proveedores de servicios tienen unas necesidades específicas. Necesitan provisionar certificados a gran escala, por lo que más que contar con certificados de 90 días gratuitos, necesitan acuerdos de nivel de servicio y soporte y la capacidad de emitir certificados con periodos de validez más largos.
Esta es la principal diferencia del servicio ofrecido por GlobalSign: si se usa un servicio gratuito, el soporte debe buscarse fundamentalmente en foros comunitarios y los acuerdos de nivel de servicio sencillamente no existen. Sin embargo, GlobalSign ofrece todo eso y mucho más. Su secreto es contar con Atlas, la AC de última generación y gran volumen basada en la nube, que ofrece una disponibilidad sorprendentemente alta e ininterrumpida.
GlobalSign, con más de 25 años de experiencia en el sector, proporciona una Autoridad de Certificación con confianza mundial y servicios de confianza en la UE. GlobalSign permanece al margen de las operaciones de las empresas de capital riesgo, no está obsesionada por su tasación (y su estructura de precios da fe de ello) y no extiende sus operaciones en un sinfín de líneas de negocio diferentes. GlobalSign está especializada en PKI, y esta es nuestra verdadera obsesión –hablar con nosotros en una fiesta puede ser verdaderamente aburrido. Sin embargo, le interesa todo lo que tenemos que contarle si lo que necesita es comenzar a usar el Servicio ACME o recibir soporte.
¿Cómo funciona ACME?
ACME es un marco de trabajo sencillo para automatizar el ciclo de vida SSL/TLS. Se trata de un protocolo, y las empresas pueden seleccionar el agente que mejor se adapte a sus necesidades. Cada entorno de red es distinto, ya que cada organización utiliza servidores diferentes y sus requisitos son específicos. La ventaja de ACME es que puede encontrar el agente adecuado para su entorno sea cual sea su servidor.
Algunos de los clientes ACME más populares son:
- Certbot
- ACMESharp
- acme-client
- GetSSL
- Posh-ACME
- Caddy
- Sewer
- nginx ACME
También hay un agente llamado Peter SSLers, en homenaje al famoso actor que protagonizó la saga de películas de La pantera rosa y quien, como GlobalSign, también nació en Portsmouth (él en el de New Hampshire y nosotros en el de Inglaterra).
Los clientes suelen ser gratuitos y de código abierto. El Servicio ACME de GlobalSign es compatible con cualquier cliente y utiliza el estándar IETF ACME. Una vez seleccionado el cliente, los agentes se instalan y configuran en todos los terminales que se quieren proteger.
Veamos a continuación en qué se diferencia un cliente ACME de un agente.
El cliente hace referencia al marco que garantiza que un tipo específico de servidor puede comunicarse con GlobalSign, mientras que el agente es la parte del sistema que actúa en nombre del servidor para realizar tareas como la generación de CSR y la realización de las pruebas de validación de dominio.
A continuación, desgranaremos el funcionamiento de ACME.
Creación de una cuenta ACME
Una vez instalados los agentes, interactúan con GlobalSign y se autentican (demuestran que están autorizados para actuar en nombre del servidor usando la función ACME «vinculación de cuenta externa», o EAB, por sus siglas en inglés). Posteriormente, vinculan la clave pública del agente con su cuenta en Atlas mediante un código de autenticación de mensajes (o clave MAC) cifrado que GlobalSign genera para firmar el par de claves de cuenta. A partir de este momento, todos los mensajes se firman con el par de claves para garantizar la seguridad de las emisiones y revocaciones. Todo este proceso se realiza a través del portal Atlas de GlobalSign.
Una vez finalizada la configuración, comienza la magia, aunque quizás sea mucho decir, porque el asunto es bastante sencillo.
Solicitud de un certificado SSL/TLS
Una vez instalados los agentes en los servidores web correspondientes y después de vincularlos con su cuenta en Atlas, podrán comenzar a solicitar certificados SSL/TLS. Aunque sé que solamente se fijarán en el gráfico, voy a ofrecer una descripción aclaratoria, que también mejorará nuestra SEO. Recuerden que hemos resumido algunos pasos y simplificado el proceso.
- El agente envía una solicitud de pedido y la firma digitalmente con el par de claves de su cuenta
- Atlas, la AC de última generación de GlobalSign, envía una pregunta de validación de dominio para verificar que el agente está autorizado para actuar en nombre del servidor. La información de validación de dominio puede reutilizarse durante 397 días
- El agente envía una respuesta indicando que ha respondido a la pregunta de verificación y la vuelve a firmar con el par de claves de la cuenta. Atlas verifica la respuesta
- Tras la verificación, el agente genera una CSR en nombre de su servidor web y la envía a Atlas firmada con el par de claves de la cuenta
- Atlas verifica la firma digital y GlobalSign emite los certificados SSL/TLS
- El agente recibe el certificado y lo instala y configura en el servidor
Lo bueno es que el usuario no tiene que hacer nada, ya que el proceso se completa cómodamente de forma silente en segundo plano.
A couple notes, first, renewals occur in the same way and as mentioned above domain validation information can be re-used for 397 days, so any certificates issued after the first domain validation can skip subsequent validation challenges for the next 397 days. Considering best practice is to rotate them more frequently than once per year in the name of improved security posture and greater crypto-agility, ACME provides a very convenient way to accomplish that.
Es importante destacar que, en primer lugar, las renovaciones se realizan siguiendo el proceso descrito antes y la información de validación de dominio puede reutilizarse durante 397 días. Por ello, los certificados emitidos después de la primera validación de dominio no tienen que responder a la pregunta de verificación, siempre que se emitan en un plazo de 397 días. Sin embargo, teniendo en cuenta que las buenas prácticas recomiendan cambiar esta pregunta de verificación más de una vez al año para mejorar la seguridad y la agilidad de cifrado, ACME ofrece una forma cómoda de hacerlo.
Revocación de un certificado
El siguiente paso es la revocación. Especialmente cuando las políticas de seguridad obligan a cambiar los certificados más de una vez al año, la organización deberá revocar algunos de ellos. También es necesario revocar los certificados vulnerados y aquellos que presentan problemas técnicos. ACME le ayuda en este proceso de la siguiente manera
- El agente genera una solicitud de revocación en nombre del servidor y la firma digitalmente con la clave de la cuenta o la clave privada del certificado TLS que se desea revocar
- Atlas verifica la firma digital
- GlobalSign revoca el certificado
- GlobalSign publica el certificado revocado en las listas de revocación de certificados (“CRL”) pertinentes y en el Protocolo de Estado de Certificado Online ("OCSP")
La siguiente pregunta que cabe hacerse es cómo puede su organización beneficiarse de ACME
El Servicio ACME de GlobalSign es un excelente primer paso hacia la automatización de cualquier organización. Elimina el estrés y la preocupación de gestionar los certificados SSL/TLS, reduce notablemente la carga de trabajo del equipo de TI y evita los posibles problemas que surgen durante la gestión de certificados públicos. Los errores humanos pueden dar lugar al vencimiento de un certificado antes de su sustitución, lo que puede desencadenar una serie de problemas.
- Paradas/tiempos de inactividad:si no es posible acceder a un sitio web o servidor, nadie podrá usarlo. Podría tratarse de una tienda online, un portal de red para empleados que teletrabajan o un servidor de videojuegos. En cualquier caso, la consecuencia es que su organización perderá productividad e ingresos, es decir, dinero.
- Erosión de marca: todos maldecimos a nuestra empresa de telefonía cuando se corta una llamada o la velocidad de la red no es suficiente. Los usuarios sienten lo mismo en relación con los sitios web y los servicios online. Aunque crea que la indisponibilidad de su servicio online durante unas pocas horas no tiene ninguna importancia, le aseguramos que sus clientes no piensan así. Seguramente a sus empleados no les resulte demasiado molesto, aunque nunca lo admitirán.
- Problemas de cumplimiento y normativos: en función de su ubicación o sector, la seguridad TLS/HTTPS, y en general la ciberseguridad, implican una serie de requisitos específicos. Los vencimientos no previstos pueden entrañar problemas de cumplimiento. Incluso si la consecuencia no es una sanción, sí que colocará a su empresa en el radar de los reguladores, algo que seguramente desearía evitar.
Además, una vez que pruebe las ventajas de automatizar los ciclos de vida SSL/TLS, comenzará a preguntarse qué otros aspectos de la PKI de su empresa puede automatizar también. La diferencia es abismal, especialmente en organizaciones de gran escala.
¿Le interesaría hablar más sobre el protocolo ACME con GlobalSign?
Genial, los miembros de nuestro equipo de ventas esperan con impaciencia su llamada o correo electrónico. Literalmente, esperan su consulta impacientemente, ya que, para poder ofrecer el mejor precio, solo les pagamos una vez que han resuelto su consulta. Evidentemente, estamos bromeando, pero lo cierto es que estarán encantados de charlar con usted sobre la automatización y explicarle el sinfín de ventajas que puede obtener del Servicio ACME. Solo tiene que SOLICITAR UNA DEMOSTRACIÓN y un miembro de nuestro equipo se pondrá en contacto con usted.
También puede llamarnos directamente, aunque hoy en día resultaría algo raro. En cualquier caso, estamos preparados para hablar sobre ACME y la automatización cuando lo desee.