Si aún no ha automatizado la gestión del ciclo de vida de los certificados (CLM), se está quedando sin tiempo.
ACME (Automated Certificate Management Environment) es un protocolo diseñado hace varios años para automatizar la gestión del ciclo de vida de los certificados. Fue creado originalmente por el Grupo de Investigación sobre Seguridad en Internet (ISRG) para ser utilizado por la autoridad certificadora de código abierto Let's Encrypt.
En aquel momento, era una innovación necesaria porque los certificados SSL/TLS de Let's Encrypt sólo eran válidos durante 90 días y debían sustituirse al menos cuatro veces al año. A diferencia de otras CA comerciales que, de conformidad con los requisitos básicos del Foro de CA/Browser, emitían certificados con una validez máxima de 13 meses (397 días).
Pues bien, esto está a punto de cambiar. Tras las reuniones presenciales del Foro CA/B celebradas a principios de marzo de 2023, Google anunció su intención de reducir la validez máxima de los certificados a sólo 90 días para todos los certificados SSL/TLS de confianza pública.
Aunque todavía no hay una fecha de entrada en vigor ni un plazo para este cambio, ahora es el momento de empezar a planificar la automatización de la gestión del ciclo de vida de los certificados SSL/TLS.
¿Por qué acortar la validez de los certificados?
La reducción de la vida útil de los certificados ha sido una iniciativa constante durante la última década. Mientras que hace 10 años se podía comprar un certificado SSL de 5 años, ese número se ha ido reduciendo paulatinamente de tres a dos, y luego a su actual validez máxima de un año (técnicamente 13 meses).
La idea subyacente es buena, aunque un poco difícil de manejar a gran escala: cuanto más tiempo permanezca válido un certificado, menos fiable será. Piénsalo así: un certificado SSL/TLS es lo que utilizan los navegadores para verificar la identidad de un servidor web. Cuanto más tiempo pase entre la verificación de esa información, menos fiable será esa validación. Piensa en lo mucho que puede cambiar en el transcurso de un año: las empresas se disuelven, se producen transacciones y fusiones, las empresas evolucionan... Para mantener el nivel más fiable de autenticación, esa información debe verificarse con regularidad.
El grado de regularidad es discutible. El anterior representante de Google en el Foro CA/B, que determina los requisitos normativos del sector, opinaba que la información de validación de dominios sólo debería ser fiable durante seis semanas. Tres meses es aproximadamente el doble (12 y medio).
Por el momento, Google ha enviado una encuesta a las autoridades certificadoras del Foro CA/B y solicita comentarios sobre sus planes antes de finales de marzo. Después, es probable que anuncie las fechas de aplicación de todos los cambios propuestos. Te mantendremos informado de la evolución de la situación.
Pero por ahora, es hora de iniciar un debate serio sobre la gestión del ciclo de vida de los certificados en tu organización. GlobalSign tiene una solución: ACME.
La automatización ha pasado de ser un deseo a ser una necesidad
La gestión de certificados SSL/TLS siempre ha sido algo tedioso. Todo requiere una planificación deliberada, gestionar múltiples validaciones, emitir los certificados, colocarlos en los servidores adecuados, instalarlos, configurarlos, asegurarse de que se han configurado recordatorios para cuando caduquen... es, en términos inequívocos, un enorme dolor de cabeza. Y eso sólo una vez al año.
Ahora intenta multiplicarlo por cuatro.
Pero hay una forma más fácil de evitar este dolor de cabeza: El servicio ACME de GlobalSign. Como ya se ha mencionado, ACME se diseñó específicamente teniendo en cuenta estos plazos y, desde su especificación inicial, se ha perfeccionado para facilitar algo más que certificados de dominio validado (DV) de código abierto. El servicio ACME de GlobalSign puede emitir certificados SSL/TLS validados por dominio y por organización (OV). Además, está respaldado por toda la experiencia, asistencia y acuerdos de nivel de servicio (SLA) que hacen de GlobalSign una de las autoridades certificadoras y proveedores de servicios de confianza cualificados más respetados del mundo.
ACME es un protocolo que facilita la comunicación entre una CA (GlobalSign) y un agente instalado en un servidor web. El agente gestiona todo el ciclo de vida del certificado para todos los sitios web del servidor para los que está autorizado a actuar. Los clientes pueden adquirir paquetes de certificados y gestionarlo todo a través del portal Atlas, lo que permite la automatización completa de todos los certificados SSL/TLS de su red.
Se acabaron las largas validaciones. El agente lo hace por ti. Se acabaron las instalaciones y configuraciones. El agente también lo hace. Y cuando un certificado está a punto de caducar y hay que sustituirlo, el agente se encarga de todo.
El servicio ACME de GlobalSign es una solución de automatización de bajo costo, independiente del agente, que elimina el tedioso trabajo de tu equipo de TI y ahorra dinero a tu organización. Y, francamente, no podría estar disponible en mejor momento a la luz del reciente anuncio de Google.