Si aún no has automatizado la gestión del ciclo de vida de los certificados (CLM), te estás quedando sin tiempo.
La reducción de la vida útil de los certificados SSL/TLS ha sido una iniciativa constante durante la última década, por lo que no debería sorprendernos conocer los planes de Google de reducir los plazos de validez de los certificados SSL/TLS a 90 días. Pero aquí estás, preguntándote cómo va a afectar este cambio a tu organización, al sector en su conjunto y, francamente, qué puedes hacer al respecto. Siéntete tranquilo, te ayudaremos a entender qué significa todo esto y cómo la automatización de la gestión de certificados SSL/TLS ha pasado de ser un deseo a una necesidad.
- ¿Cómo está influyendo ACME en el futuro de la validez de los certificados SSL/TLS?
- ¿Por qué es una buena idea reducir la validez de los certificados?
- La automatización ha pasado de ser un deseo a ser una necesidad
¿Cómo está configurando ACME el futuro de la validez de los certificados SSL/TLS?
ACME (Automated Certificate Management Environment) es un protocolo diseñado hace varios años para automatizar la gestión del ciclo de vida de los certificados. Fue creado originalmente por el Grupo de Investigación sobre Seguridad en Internet (ISRG).
En aquel momento, era una innovación necesaria debido a que un proveedor de certificados SSL/TLS tenía una validez de sólo 90 días (unos 3 meses) y había que sustituirlo al menos cuatro veces al año. Esto era diferente de lo que ocurría con otras CA (Autoridades Certificadoras) comerciales que emitían certificados de conformidad con el Foro CA/Browser.
¿Cuál es el periodo máximo de validez actual de un certificado SSL/TLS?
El actual periodo máximo de validez de un certificado SSL/TLS es de 398 días, es decir, unos 13 meses, según se establece en los Requisitos Básicos del Foro CA/B.
Pues bien, esto está a punto de cambiar. Tras las reuniones presenciales del Foro CA/B celebradas a principios de marzo de 2023, Google anunció su intención de reducir la validez máxima de los certificados a tan solo 90 días para todos los certificados SSL/TLS de confianza pública.
¿Cuándo aplicará Google la validez de 90 días para los certificados?
Aunque todavía no hay una fecha de entrada en vigor o un plazo para este cambio, Google ha publicado una encuesta dirigida a las Autoridades Certificadoras en el Foro CA/B y está solicitando comentarios sobre sus planes declarados. Después, es probable que anuncie las fechas de entrada en vigor de todos sus cambios propuestos. Te mantendremos informado a medida que se desarrolle la situación.
¿Por qué es buena idea reducir la validez de los certificados?
Hace diez años, se podía adquirir un certificado SSL de cinco años, número que se ha ido reduciendo paulatinamente de tres a dos, y luego hasta su validez máxima actual. La idea que subyace es buena, aunque un poco difícil de manejar a gran escala: cuanto más tiempo de validez tenga un certificado, menos fiable será.
Piénsalo así: un certificado SSL/TLS es lo que utilizan los navegadores para verificar la identidad de un servidor web. Cuanto más tiempo pase entre la verificación de esa información, menos fiable será esa validación. Piensa en todo lo que puede cambiar en el transcurso de un año: empresas que desaparecen, transacciones y fusiones que se producen, dominios que se venden, empresas que evolucionan... Para mantener el nivel más fiable de autenticación, esa información debe verificarse con regularidad.
El grado de regularidad es discutible. El anterior representante de Google en el Foro CA/B opinaba que la información de validación de dominios sólo debería ser fiable durante seis semanas.
¿Podemos esperar que los certificados bajen a, digamos, 30 días, en un futuro previsible?
Es demasiado pronto para decirlo, pero si nos guiamos por la historia de los periodos de validez de los certificados SSL/TLS, no es algo que descartaríamos.
Pero por ahora, es hora de iniciar un debate serio sobre la gestión del ciclo de vida de los certificados en tu organización y por qué ACME es una solución adecuada.
La automatización ha pasado de ser un deseo a ser una necesidad
La gestión de certificados SSL/TLS siempre ha sido una tarea tediosa. Todo lo que no sea una tarea pequeña requiere una planificación deliberada, gestionar múltiples validaciones, emitir los certificados, colocarlos en los servidores adecuados, instalarlos, configurarlos, asegurarse de que se han configurado recordatorios para cuando caduquen... es, en términos inequívocos, un enorme dolor de cabeza.
Y eso sólo una vez al año. Ahora intenta multiplicarlo por cuatro. Ouch. Si tu equipo de TI reside en el segundo piso o en un piso superior de tu edificio, puede que tengas que cerrarles las ventanas con clavos.
Pero hay una forma más fácil de evitar que abandonen el barco: ACME.
ACME es un protocolo que facilita la comunicación entre una CA y un agente instalado en un servidor web. El agente gestiona la solicitud del certificado, la validación del dominio, la instalación y la renovación para los sitios web del servidor. Como ya se ha mencionado, ACME se diseñó específicamente teniendo en cuenta estos plazos y, desde su especificación inicial, se ha perfeccionado para facilitar algo más que los certificados de validación de dominio (DV) de código abierto.
Se acabaron las validaciones de dominio manuales. El agente lo hace por ti. Se acabaron las instalaciones y configuraciones. El agente también lo hace. Y cuando un certificado está a punto de caducar y hay que sustituirlo, el agente se encarga de todo.
¿Cómo puede ayudar el servicio ACME de GlobalSign a automatizar mis certificados SSL/TLS?
El servicio ACME de GlobalSign es una solución de automatización independiente del agente y de bajo costo que elimina el tedioso trabajo de tu equipo de TI y ahorra dinero a tu organización. El servicio ACME de GlobalSign puede emitir certificados SSL/TLS validados por dominio (DV) y validados por organización (OV). Además, está respaldado por toda la experiencia, asistencia y acuerdos de nivel de servicio (SLA) que hacen de GlobalSign una de las Autoridades Certificadoras y proveedores de servicios de confianza cualificados más respetados del mundo. Los clientes pueden adquirir paquetes de certificados y gestionarlo todo a través del portal Atlas, lo que permite una automatización completa de todos los certificados SSL/TLS de tu red.
Más información sobre la automatización de certificados ACME