La propuesta de Google de que los certificados TLS tengan una validez de 90 días: ¿una victoria en materia de seguridad o un desafío para las empresas?

¿Qué es la propuesta de validez del certificado TLS de 90 días de Google?

Google está trabajando para reducir la vida útil máxima de los certificados TLS públicos de 398 a 90 días. La duración de 398 días se estableció previamente para equilibrar la necesidad de seguridad con la facilidad operativa de las renovaciones de certificados, especialmente en entornos sin automatización. Su argumento es que una vida útil más corta de los certificados promueve la automatización, reduce los riesgos de seguridad y ayuda al ecosistema digital a adoptar las prácticas de seguridad más recientes con mayor rapidez, por ejemplo, mediante la adopción más rápida de protocolos seguros como la criptografía resistente a la cuántica o, en el futuro, la criptografía resistente a la cuántica. 

En sus anuncios públicos, Google enfatizó que la reducción de la duración de los certificados requeriría que cualquier certificado TLS público utilizado para HTTPS se renueve cada tres meses en lugar de anualmente. Este cambio propuesto forma parte de los esfuerzos continuos de Google por mejorar la seguridad web a nivel global. 

Para obtener más detalles técnicos sobre los certificados TLS, consulte nuestro blog. aquí.   

¿Cuál es la razón por la que Google está impulsando un cambio de este tipo? 

Según un estudio de Ema Reports, casi el 80 % de los certificados TLS son vulnerables a ataques de intermediario, y el 25 % están caducados o autofirmados. Además, los certificados caducados contribuyeron a la filtración de datos de Equifax en 2017. Google, Apple y Mozilla argumentan que reducir la vida útil de los certificados a 90 días mitigará estas vulnerabilidades y ayudará a las organizaciones a adoptar protocolos más seguros y actualizados con mayor rapidez. Observamos con frecuencia casos en los que se encuentra un certificado comprometido con una validez de un año.

Ahora bien, un período tan amplio es una invitación abierta a dar a los atacantes tiempo suficiente para explotar vulnerabilidades. Reducir la vida útil a tan solo 90 días (unos 3 meses) reduce ese margen, lo que significa que cualquier posible brecha se mitiga mucho más rápido. Se elige la vida útil de 90 días del certificado porque ofrece mayor seguridad sin ser demasiado difícil de gestionar para las empresas. Un ciclo de 30 o 60 días requeriría renovaciones más frecuentes, lo que generaría más trabajo para las empresas. 90 días es suficiente para que las organizaciones lo gestionen, pero lo suficientemente corto para reducir los riesgos de seguridad, lo que lo convierte en un buen punto intermedio.

• Seguridad mejorada

  Reducir el periodo de validez del certificado limita el tiempo de exposición si una clave privada se ve comprometida. Con una vida útil de 90 días, cualquier uso indebido o vulneración del certificado se puede identificar y mitigar rápidamente, lo que garantiza que los atacantes no tengan acceso prolongado. Sin embargo, en el caso de que el servidor web de una importante corporación financiera se vea comprometido, esperar a la siguiente fecha de vencimiento programada aún podría suponer un riesgo. Por ello, más allá de confiar únicamente en los periodos de vencimiento, las organizaciones deben implementar monitorización en tiempo real, procesos de revocación inmediata y rotación automatizada de claves para reducir los posibles daños derivados de dichas brechas. 

• Agilidad mejorada

  Una vida útil de los certificados más corta, por ejemplo, de 90 días, facilita que los sitios web y las aplicaciones adopten nuevos estándares criptográficos y respondan rápidamente a las vulnerabilidades de seguridad. Esta flexibilidad ayuda a las organizaciones a mantenerse al día con los últimos algoritmos de cifrado recomendados por el NIST, como la transición de SHA-1 a SHA-256. Al acortar la vida útil de los certificados, los sistemas pueden implementar nuevas medidas de seguridad con mayor rapidez, mejorando así la protección general contra amenazas emergentes como la computación cuántica. 
  Para obtener más información sobre los estándares criptográficos del NIST, visite  aquí.

• Fomento de la automatización

  Los períodos de validez más cortos impulsan a las organizaciones a adoptar procesos automatizados de renovación de certificados, lo que reduce la probabilidad de que los certificados vencidos provoquen interrupciones y mejora la seguridad general. 

  El protocolo del Entorno de Gestión Automatizada de Certificados (ACME) ayuda a automatizar este proceso, permitiendo la emisión y renovación de certificados sin problemas. Elimina la necesidad de trabajo manual, garantizando que los certificados mantengan su validez y no caduquen, y también reduce el tiempo de inactividad causado por certificados caducados. Esto evita interrupciones y mantiene los sistemas seguros y funcionando sin problemas. Con la automatización, los equipos de TI pueden centrarse en tareas de mayor prioridad, a la vez que garantizan el cifrado continuo y el cumplimiento de estándares del sector, como el plazo de renovación de 90 días. 

• Apoyo al cumplimiento normativo y preparación para la criptografía poscuántica

  La iniciativa de Google de implementar certificados TLS de 90 días no solo busca mejorar la seguridad por ahora, sino también prepararse para el futuro, especialmente con la criptografía post-cuántica (PQC).

¿Por qué este tema?

Las computadoras cuánticas podrían algún día romper los métodos de cifrado actuales, poniendo en riesgo la seguridad digital. Por lo tanto, la ventaja de un período de validez más corto es que nos anima a mantener las prácticas de seguridad actualizadas. Esto permite a las organizaciones probar y adoptar algoritmos resistentes a la tecnología cuántica, como CRYSTALS-Kyber, de forma controlada y fluida. Al renovar los certificados con mayor frecuencia, las empresas pueden integrar y evaluar estos algoritmos avanzados, garantizando así que sus sistemas estén preparados para los futuros avances en la tecnología informática.

Tomemos como ejemplo la banca en línea. Actualmente, los certificados protegen tus datos personales. Pero en el futuro, las computadoras cuánticas podrían ser capaces de descifrar el cifrado. Actualizar los certificados cada 90 días ayuda a las empresas a mantenerse a la vanguardia, ya que garantiza que puedan adoptar rápidamente métodos de seguridad cuántica cuando sea necesario.

La opinión del foro CA/Browser sobre la propuesta de certificado TLS de 90 días de Google     

La CA / Foro del navegador Desempeña un papel importante en la definición de los estándares SSL/TLS, y en lo que respecta a la propuesta de certificado de 90 días de Google, trabajan activamente para equilibrar la seguridad con la practicidad. CA/B se centra en crear un ecosistema web más seguro donde la menor duración de los certificados ayude a mitigar los riesgos de claves comprometidas. 

Un ejemplo notable es la reducción de la validez máxima de los certificados SSL/TLS de 825 a 398 días en 2020, lo que refuerza la necesidad de más renovaciones. Recientemente, la industria ha adoptado una vigencia de 90 días para los certificados, lo que refuerza aún más el papel de la automatización para garantizar el cumplimiento normativo. Estos cambios reflejan una tendencia más amplia hacia certificados de menor duración, lo que reduce el riesgo de vulneración y garantiza la agilidad criptográfica. 

Ahora bien, ¿cuál podría ser el fundamento de esto? Por ahora, el foro CA/B cree que esta validez podría resultar en una adopción más amplia de la gestión automatizada de certificados, lo que, en última instancia, ayudará a mantenerse al día con la evolución de los protocolos de seguridad. También creen que CUMBRE Los protocolos serán el factor clave para este cambio. Este protocolo automatiza la emisión, renovación y revocación de certificados, lo que facilita la gestión de los mismos por parte de las empresas.

Herramientas como Vamos a cifrar Simplificar la gestión de SSL/TLS, garantizando que las empresas cumplan con plazos de entrega más cortos y manteniendo una seguridad sólida. El Foro también ofrece consejos para grandes organizaciones y empresas, como la necesidad de estar preparados para este cambio mediante la adopción de herramientas de automatización que puedan gestionar el mayor volumen de certificados.    

Esta postura proactiva del Foro subraya su creencia de que la automatización será esencial para manejar la escala y la complejidad de la gestión de certificados en un ciclo de 90 días. 

Fuente: Declaración oficial del foro de CA/Browser.     

Ventajas de la vida útil de TLS de 90 días 

La reducción de la duración de los certificados TLS, como la propuesta de 90 días, ofrece ventajas increíbles. Analicémoslo con ejemplos reales.     

Imagine grandes sitios web de comercio electrónico como Amazon o Flipkart. Estas plataformas gestionan diariamente grandes cantidades de datos confidenciales de clientes. La duración más corta del certificado garantizará que la seguridad esté siempre actualizada y también ayudará a ganarse la confianza del cliente. Con la creciente amenaza del fraude en línea, gestionar las vulnerabilidades y los riesgos del sistema se ha vuelto cada vez más difícil. Por eso, empresas tecnológicas como Google están impulsando este cambio.

Otra razón para este cambio es que elimina el riesgo de que alguien olvide renovarlo manualmente. Piénselo así: si no hay certificados caducados, no habrá tiempo de inactividad ni pánico. El concepto de que los certificados no caduquen también permite a las empresas adoptar rápidamente las últimas actualizaciones de seguridad, anticipándose a las ciberamenazas.   

La reducción de la vida útil de los certificados, combinada con la automatización, ayuda a las empresas a prepararse para la criptografía poscuántica (PQC), garantizando la seguridad y reduciendo los errores humanos. Por ejemplo, la renovación automatizada de certificados puede evitar tiempos de inactividad causados ​​por certificados caducados, como se observó cuando los certificados caducados de Cisco interrumpieron los servicios de más de 20 000 clientes.

Además, un informe reveló que el 81 % de las organizaciones experimentaron al menos dos interrupciones disruptivas debido a certificados vencidos en los últimos dos años, lo que destaca la importancia de la automatización para mantener la confianza del cliente. ¡Todos ganan!

Desventajas si cambiamos a una validez de 90 días para los certificados TLS 

Al analizar una nueva propuesta o cambio, debemos considerar sus ventajas y desventajas. Ya hemos analizado las ventajas de la transición a una validez de 90 días del certificado TLS. 

• Impacto de este cambio en las pequeñas empresas

  Sin automatización, mantener los certificados actualizados se convierte en un desafío constante. Omitir una sola renovación podría provocar tiempos de inactividad, lo que podría ahuyentar a los clientes. Si bien la automatización parece la solución obvia, implementarla requiere las herramientas y los procesos adecuados.

  Para las pequeñas empresas que buscan soluciones rentables, herramientas de código abierto como Certbot (para certificados Let's Encrypt) pueden automatizar las renovaciones sin coste. Otras opciones incluyen Step CA para la gestión de certificados internos y ACME.sh, un cliente ACME ligero. Estas herramientas reducen el esfuerzo manual y los gastos. Las empresas con necesidades más complejas pueden explorar servicios gestionados como Lego o Smallstep, que ofrecen mayor flexibilidad sin altos costes generales.

• Efecto sobre las agencias gubernamentales en los sistemas heredados

  Las agencias gubernamentales pueden migrar gradualmente a certificados de 90 días. Pueden usar pasarelas seguras como HAProxy o Nginx para gestionar las renovaciones sin modificar los sistemas heredados. Automatizar las actualizaciones de certificados con herramientas como Certbot o Smallstep puede reducir el trabajo manual. Pueden comenzar con los servicios públicos y luego actualizar los sistemas internos. Añadir renovaciones de 90 días implicaría actualizaciones constantes, lo que podría ralentizar los servicios esenciales si algo falla. Es difícil implementar estos cambios frecuentes con recursos de TI limitados, especialmente cuando la fiabilidad es clave. Por lo tanto, una gran medida de seguridad también puede ser desventajosa para algunos.

  Algunos componentes heredados críticos aún pueden utilizarse para certificados a largo plazo mientras se implementa la automatización siempre que sea posible. Actualizar los servidores web y los balanceadores de carga antes de las aplicaciones antiguas puede simplificar el proceso. Este enfoque mejora la seguridad y mantiene los servicios esenciales en funcionamiento sin sobrecargar a los equipos de TI.

¿Cómo debe prepararse para las interrupciones relacionadas con los certificados?    

Los certificados son especialmente importantes para una empresa. Son como un pasaporte para su sitio web. Si tiene problemas con los certificados, pueden surgir problemas de seguridad. Si caducan o no se gestionan correctamente, pueden provocar tiempos de inactividad, riesgos de seguridad y pérdida de confianza de los clientes. Veamos algunas maneras de evitar interrupciones relacionadas con los certificados. 

• Centralice la gestión de sus certificados con CertSecure Manager

  CertSecure Manager mantiene todos los certificados en un solo lugar, lo que facilita el seguimiento de las caducidades, la renovación puntual y la aplicación uniforme de las políticas de seguridad. Con un panel de control claro con 12 nuevos KPI (Indicadores Clave de Rendimiento) y flujos de trabajo automatizados, las organizaciones pueden simplificar la gestión de certificados y reducir los riesgos de seguridad.

• Mejorar la seguridad más allá de la automatización

  Si bien la automatización garantiza renovaciones puntuales, también es importante realizar pruebas de penetración periódicas para identificar vulnerabilidades causadas por certificados caducados o mal configurados. Las organizaciones también deben configurar alertas automatizadas para detectar comportamientos inusuales de los certificados y realizar auditorías de cumplimiento para detectar deficiencias en la aplicación de la seguridad.

• Educa a tu equipo

  Asegúrese de que su personal de TI comprenda la importancia de la gestión de certificados. Una capacitación adecuada puede prevenir errores humanos y promover las mejores prácticas en el manejo de certificados.

• Monitorear el mercado y adaptarse a los cambios como la propuesta de 90 días de Google

  El mundo tecnológico está en constante cambio, por lo que contamos con regulaciones que supervisan y garantizan una transición fluida. Debemos mantenernos informados sobre las novedades del sector y adaptarnos rápidamente. Una vida útil más corta de los certificados implica renovaciones más rápidas, pero también nos obliga a confiar en la automatización y en prácticas de gestión eficientes. Por lo tanto, la proactividad es fundamental. Esto mantiene a su empresa a la vanguardia y le permite liderar los cambios en el sector.

¿Qué significa esto para DevOps? 

Si alguna vez tengo que expresarlo en una palabra, será: Automatización. Piense en renovar cada certificado manualmente, y además cada 90 días; suena agotador, ¿verdad? Por eso, la automatización se ha convertido en una necesidad y no solo en una opción más. Aquí es donde CUMBRE entra en juego.  

ACME automatiza la emisión, renovación y revocación de certificados, lo que lo convierte en un componente clave en los procesos de CI/CD para implementaciones seguras. Clientes de ACME como Certbot o acme.sh pueden solicitar y renovar certificados, que luego se validan mediante desafíos DNS-01 o HTTP-01. Una vez emitidos, los certificados se implementan en servidores web, balanceadores de carga o proxies inversos como Nginx y HAProxy mediante scripts de automatización. Herramientas como Ansible, Terraform o Kubernetes Los secretos ayudan a distribuir y recargar certificados en distintos entornos.

CertSecure Manager mejora este proceso al proporcionar seguimiento centralizado, aplicación de políticas e integración perfecta, lo que garantiza una gestión de certificados segura y automatizada sin intervención manual. 

Ejemplo: Renovación de certificado manual vs. automatizada

Renovar manualmente 500 certificados cada 90 días podría requerir una inversión anual de aproximadamente 250 horas para un equipo, lo que, con un costo promedio de $50 por hora, equivale a $12,500 en costos laborales. Esto no incluye los riesgos de errores humanos o renovaciones no realizadas, que podrían generar costosos tiempos de inactividad o brechas de seguridad.

Con CertSecure Manager, todo el proceso es solucionesDesde la emisión hasta la renovación, eliminando la necesidad de intervención manual. Esto no solo ahorra 250 horas de trabajo al año, sino que también reduce los costos asociados prácticamente a cero. Al automatizar la gestión de certificados, su equipo puede centrarse en ofrecer nuevas funciones y mejorar el producto, a la vez que garantiza una seguridad consistente sin riesgo de errores ni incumplimiento de plazos. 

El papel de los equipos de seguridad en las políticas, la formación y las auditorías 

Debe existir un flujo de trabajo claro y establecido para cumplir con el requisito de validez de 90 días del certificado TLS. En primer lugar, deben desarrollarse políticas que definan cómo se supervisarán y renovarán los certificados, incluyendo roles y responsabilidades claros. Esto incluye pasos como la solicitud del certificado por parte del cliente ACME, la validación de la propiedad del dominio por parte de la CA, la emisión del certificado y la automatización de las renovaciones cuando el certificado se acerque a su vencimiento.

Además de esto, los equipos de seguridad deben establecer políticas de gestión de certificados que se alineen con marcos como ISO 27001, definiendo roles, responsabilidades y procesos para monitorear y renovar certificados.

El personal de TI debe estar capacitado para comprender la importancia de las renovaciones oportunas y los posibles riesgos de incumplimiento. Se deben realizar auditorías periódicas para verificar si hay certificados vencidos y garantizar que el proceso de renovación se siga correctamente. Estas auditorías Se deben identificar las brechas y vulnerabilidades. Tras cada auditoría, se deben perfeccionar las políticas y los procesos para garantizar la mejora continua en la gestión de certificados.

¿Cómo se implementarán los cambios? 

Hasta el momento, no tenemos una fecha confirmada para la propuesta de Google. Sin embargo, se anunció en 2023. Google planea introducir este cambio en la actualización de su Programa de Raíz de Chrome o como una propuesta de votación a través de... Foro de CA/Navegador. Esto permitiría a los expertos del sector y a las autoridades de certificación (AC) opinar sobre la decisión y prepararse para la transición. Sin embargo, cabe prever que la transición a los certificados de 90 días comenzará con la adopción del estándar por parte de los principales navegadores y las AC y su establecimiento como requisito.

Podría comenzar con un período de implementación gradual, durante el cual las organizaciones tienen tiempo para prepararse y adaptarse. Históricamente, la implementación de los cambios en los períodos de validez de los certificados ha tardado entre varios meses y algunos años. Por ejemplo, la reducción de la vida útil de los certificados de 825 a 398 días se propuso en 2019 y entró en vigor en septiembre de 2020. Dado este precedente, si se aprueba la propuesta de validez de 90 días, la transición podría tardar aproximadamente entre uno y dos años. 

Para obtener más información, puede consultar el Programa raíz de Chrome de Google y los anuncios del Foro CA/Navegador: 

• Programa raíz de Google Chrome
• CA / Foro del navegador

Mejores prácticas para una transición sin problemas     

Para gestionar fácilmente la regla de los certificados TLS de 90 días, comience por planificar con antelación y automatizar las renovaciones de certificados. Capacite a su equipo para que controle las fechas límite y garantice que los certificados estén siempre actualizados. Con un sistema sencillo, puede evitar problemas. A continuación, se indican los mejores pasos para garantizar una transición fluida a este nuevo requisito de certificado. 

• Gestión organizada de certificados para una mayor seguridad

  Mantener un inventario centralizado de certificados es esencial para el seguimiento de las renovaciones y evitar su vencimiento. Clasificar los certificados por prioridad (crítico, alto, medio y bajo) garantiza que los más importantes se renueven primero. Este enfoque reduce el tiempo de inactividad, minimiza los riesgos de seguridad y optimiza la gestión de certificados.

• Automatizar la gestión de certificados

  La automatización sería clave en este caso. Herramientas como CertSecure Manager de Encryption Consulting facilitan la gestión de sus certificados; mejoran la seguridad al identificar y eliminar los certificados caducados o sin uso, y garantizan el cumplimiento normativo. Para equipos pequeños o cualquier persona sin recursos de TI dedicados, la automatización facilita y garantiza que no se omita ninguna renovación.

• Configurar alertas y monitoreo

  Debemos mantener las alertas y la monitorización activas en todo momento; incluso con la automatización, tener alertas sobre el estado de renovación ayuda a detectar cualquier problema inesperado. Herramientas de monitorización como Nagios o SolarWinds proporcionan alertas en tiempo real sobre la renovación de certificados, notifican a los administradores sobre vencimientos o problemas inminentes y garantizan una gestión proactiva incluso con la automatización implementada.

• Educar a los equipos desde el principio

  Este cambio probablemente requerirá capacitación, especialmente en organizaciones que no cuentan con un equipo de seguridad dedicado. Si alguien conoce cómo funcionan la automatización y la renovación, qué errores pueden surgir y cómo solucionarlos, la transición será más fluida.

• Considere soluciones subcontratadas

  A menudo, los equipos pequeños encuentran complicada la automatización de certificados. En estos casos, estos proveedores de servicios de gestión de certificados están ahí para facilitar la transición.

Introducción a CertSecure Manager   

Evaluación de su gestión actual de certificados estrategia y adoptar una solución automatizada como Administrador de CertSecure Puede mejorar la eficiencia y la seguridad. Con funciones como la integración con ACME para la gestión automatizada de certificados y la generación de informes en tiempo real, CertSecure Manager garantiza renovaciones puntuales y una supervisión proactiva, lo que le proporciona un mejor control sobre sus certificados y reduce el riesgo de caducidad.

Paso 1: Realizar una auditoría de certificación     

Puede usar CertSecure Manager para escanear toda su red y descubrir todos los certificados SSL/TLS existentes. Esta auditoría le ayudará a identificar los certificados próximos a caducar y aquellos que requieren atención inmediata.   

Paso 2: Implementar ACME para renovaciones automatizadas de certificados    

Puede implementar agentes ACME en sus servidores web e integrarlos con CertSecure Manager. Esta configuración automatiza todo el proceso de renovación y garantiza el cumplimiento del plazo de 90 días sin necesidad de intervención manual. La integración con ACME automatiza la emisión y renovación de certificados, mientras que la monitorización en tiempo real envía alertas de vencimiento, lo que garantiza una gestión proactiva y minimiza los riesgos. 

Paso 3: Supervisar y optimizar     

Al usar CertSecure Manager, puede habilitar la monitorización en tiempo real y configurar alertas para recibir notificaciones sobre vencimientos o posibles vulnerabilidades. Con la interfaz intuitiva de CertSecure Manager, puede solucionar rápidamente cualquier problema antes de que afecte a sus servicios.     

Paso 4: Escala a medida que creces 

A medida que su organización crece, también crece su necesidad de certificados seguros. CertSecure Manager escala fácilmente, gestionando certificados en todos sus endpoints críticos, desde balanceadores de carga y puertas de enlace API hasta dispositivos IoT y... servicios en la nubeCreo que es hora de que le eches un vistazo al producto en sí.

¿Cómo puede ayudar la consultoría de cifrado?   

Gestionar esta transición a certificados TLS de 90 días no tiene por qué ser un problema. Encryption Consulting está aquí para apoyar a las organizaciones con conocimientos de expertos y locales Diseñados a medida para la gestión de certificados, la automatización y la agilidad criptográfica. Ya sea que administre algunos certificados o supervise una infraestructura digital a gran escala, Encryption Consulting ofrece soluciones para garantizar que su proceso de gestión de certificados sea fluido y seguro. Por lo tanto, si le preocupa la transición o tiene alguna... criptografíaPara consultas relacionadas, visite nuestra centro educativo or Contáctanos     

Conclusión

La propuesta de Google de una vida útil de 90 días para los certificados SSL/TLS es una excelente medida para mejorar la seguridad web al reducir el riesgo de los certificados comprometidos. Unos períodos de validez más cortos exigen una gestión automatizada del ciclo de vida de los certificados (CLM), que aprovecha protocolos como ACME, que facilitan la emisión, renovación y revocación sin problemas. Este enfoque minimiza el error humano y reduce el riesgo de certificados caducados. Además, se ajusta a las normas modernas. DevOps prácticas mediante la integración de la automatización en pipelines de CI / CDLa aplicación de una validación de dominio más frecuente también reduce la posibilidad de emisión incorrecta de certificados por parte de las CA y de certificados obsoletos, lo que refuerza eficazmente la seguridad de las redes empresariales y las comunicaciones digitales.