Acciones urgentes para prepararse para los certificados SSL/TLS de 90 días 

Por otro lado, esto también representa un problema. Las empresas deben organizar adecuadamente los procesos de monitoreo, obtener nuevos certificados de manera oportuna y controlar la disponibilidad de los servicios para garantizar el funcionamiento fluido y seguro de Internet. 

Para facilitar el cambio del certificado SSL/TLS de 90 días, se puede consultar este documento completo blog Para obtener información. Explorar estas prácticas recomendadas le ayudará a superar problemas críticos, como la automatización y la gestión eficiente de los ciclos de vida de los certificados, mientras evade las restricciones reducidas recomendadas por Google respecto a los períodos de validez. 

Cronograma de reducción del período de validez de los certificados 

La historia de Certificado SSL / TLS Los períodos de validez demuestran el esfuerzo que ha realizado la industria para fortalecer la ciberseguridad. Organizaciones como CA / Foro del navegador y las principales empresas de navegadores como Google, Apple, Microsoft y Mozilla han sido actores clave a la hora de impulsar este cambio. 

• Antes de 2011, los certificados tenían una validez de 8 a 10 años (96 meses). Este largo período generaba riesgos debido a la obsolescencia. algoritmos de encriptación Se mantuvo en uso durante demasiado tiempo. Muchas empresas tuvieron dificultades para gestionar las vulnerabilidades y se enfrentaron a mayores probabilidades de sufrir filtraciones de datos. 

• En 2012, el CA/Browser Forum redujo el periodo máximo de validez a 5 años (60 meses). Este cambio refleja una clara transición hacia prácticas de seguridad mejoradas. Si bien aumentó la carga de trabajo, también redujo el número de interrupciones causadas por certificados caducados. 

• Para 2015, el período de validez se redujo a 3 años (39 meses). Las empresas comenzaron a utilizar herramientas automatizadas para gestionar las renovaciones, lo que redujo los errores manuales. 

• En 2018, el período de validez se redujo aún más a 2 años (27 meses). Este ajuste fue respaldado por los principales proveedores de navegadores como Microsoft y Apple y enfatizó la necesidad de actualizaciones criptográficas más frecuentes para contrarrestar las nuevas vulnerabilidades. amenazasEste cambio aceleró la adopción de soluciones de gestión del ciclo de vida de los certificados (CLM), y las organizaciones informaron un aumento en la inversión en herramientas de automatización. Sin embargo, las empresas se enfrentaron a desafíos para alinear los flujos de trabajo de TI y cumplir con este ciclo acortado. 

• El cambio histórico se produjo en 2020. Apple lideró la iniciativa al anunciar que Safari ya no confiaría en certificados con una validez superior a un año (13 meses). Google Chrome y Mozilla Firefox implementaron políticas similares siguiendo el ejemplo de Apple. Este cambio impactó en las organizaciones, obligándolas a adoptar sistemas CLM totalmente automatizados. 

• En julio de 2023, Google propuso el cambio en el Foro CA/B, que aún no ha sido aceptado. La propuesta de Google de un periodo de validez de 90 días para los certificados representa un ajuste significativo. Garantiza que los certificados se mantengan en línea con los estándares de seguridad en constante evolución. 

• Ese mismo año, Apple también propuso el cambio en el Foro CA/B, cuyo objetivo es acortar la vida útil de los certificados SSL/TLS por fases. Si la propuesta se aprueba, se implementarán varios cambios. Para septiembre de 2026, la vida útil de los certificados se limitará a 200 días, con un período de renovación anticipada de 20 días y un período de reutilización de la DCV (Validez del Controlador de Dominio) de 200 días. Para septiembre de 2027, la vida útil de los certificados se reducirá a 100 días, con un período de renovación anticipada de 10 días y un período de reutilización de la DCV de 100 días. Finalmente, para septiembre de 2028, los certificados tendrán una validez de 45 díasEl periodo de reutilización del DCV será de tan solo 10 días. Esto permite a las organizaciones adoptar prácticas de gestión de certificados más rápidas y automatizadas, sin complicaciones.

Cada ajuste en los períodos de validez ha llevado a las organizaciones a repensar sus flujos de trabajo de seguridad, invertir en automatización y mejorar las prácticas de cumplimiento, fortaleciendo en última instancia sus posturas de ciberseguridad. 

Problemas que presenta la reducción del plazo de validez de los certificados 

La transición a más corto certificado La duración de la vida útil representa un cambio significativo en la gestión de los certificados digitales y mejora la seguridad al reducir el riesgo de uso indebido de claves comprometidas durante períodos prolongados. Sin embargo, esto también conlleva varios desafíos operativos que las organizaciones deben abordar eficientemente.  

1. Renovaciones frecuentes de certificados

   Se necesitan renovaciones más frecuentes, que pueden llegar hasta al menos cuatro veces al año. Esto aumenta automáticamente la carga administrativa, especialmente para las empresas que gestionan miles o incluso millones de certificados. Esta mayor frecuencia no solo sobrecarga los recursos, sino que también aumenta la probabilidad de errores humanos, lo que provoca... certificados caducados

   Cada año, un gran número de organizaciones sufren interrupciones debido a certificados caducados. Un estudio de DigiCert reveló que las interrupciones de certificados cuestan a las grandes corporaciones un promedio de $5,600 por minuto. Un ejemplo notable es la interrupción de Microsoft Teams en 2020, donde un certificado caducado dejó a millones de usuarios sin acceso. Esto demostró los riesgos empresariales y de reputación asociados con una gestión inadecuada de certificados.

2. Sistemas no automatizados

   Confiar en procesos de renovación manuales era viable con certificados con una mayor duración, pero con periodos de validez más cortos, resultaría impráctico. Estos métodos manuales suelen resultar en certificados caducados o configuraciones incorrectas, lo que provoca interrupciones o riesgos de seguridad. Los sistemas heredados, que son más antiguos y no están diseñados para las demandas modernas, enfrentan dificultades adicionales. Por lo general, no son compatibles con herramientas automatizadas como ACME (Entorno de gestión de certificados automatizado), que son cruciales para gestionar los certificados de manera eficiente.

   Además, no todos Autoridades de certificación (CA) Las organizaciones están completamente equipadas para gestionar los ciclos acelerados de emisión y renovación que pueden generar inconsistencias. Las empresas están adoptando sistemas centralizados de gestión de certificados para mitigar estos desafíos. Nuestra solución, Administrador de CertSecure, proporciona una interfaz unificada para el seguimiento y la renovación de certificados.

3. Carga sobre el equipo de TI

   El cambio a una vida útil más corta de los certificados supone una carga significativa para los equipos de TI. Al tener que renovar los certificados con mayor frecuencia, los equipos de TI deben gestionar un mayor volumen de renovaciones. Esto aumenta la probabilidad de errores, como la caducidad de los certificados. Esto puede provocar interrupciones del sistema, lo que afecta a los servicios y la productividad. Sin automatización, los equipos de TI pueden dedicar mucho tiempo a gestionar sus certificados, lo que les quita tiempo de otras tareas importantes. La automatización puede ahorrar tiempo y permitir que los equipos se concentren en tareas críticas.

   Una importante empresa europea de telefonía móvil llamada O2 se enfrentó a un corte Esto duró casi un día entero debido a la caducidad de un certificado de Ericsson. Millones de clientes se vieron afectados por esta interrupción. Como resultado, O2 recibió una compensación de aproximadamente 132.8 millones de dólares por parte de Ericsson.

4. Necesidades de formación y perfeccionamiento

   La capacitación del personal es otro componente fundamental, ya que los equipos de TI y DevOps necesitan capacitación para gestionar eficientemente los ciclos de vida de los certificados modernos. Estas estrategias requieren inversión, pero son esenciales para minimizar las interrupciones del servicio, reducir la sobrecarga de recursos y garantizar... el cumplimiento En una era de certificados con una vida útil más corta, las organizaciones que implementan estas medidas con éxito no solo mitigan los riesgos asociados a las renovaciones frecuentes, sino que también se posicionan para una mayor resiliencia operativa y una mayor confianza en sus servicios digitales.

Las organizaciones necesitan utilizar herramientas de automatización y plataformas de gestión de certificados para garantizar una gestión adecuada del ciclo de vida de los certificados. Estas herramientas facilitan el proceso de renovación al automatizar tareas como la emisión, la implementación y el seguimiento. certificadosEstas herramientas están diseñadas para integrarse sin problemas con diversos entornos, incluidos los sistemas heredados.  

Acciones inmediatas para una gestión eficiente de certificados 

A continuación se mencionan varias acciones que le ayudarán a gestionar los certificados de manera eficaz. 

1. Auditoría exhaustiva de certificados

   Es fundamental comprender el contexto actual de los certificados para completar esta tarea con éxito. Por lo tanto, anote todos los atributos conocidos de cada certificado de forma clara y sencilla y realice un inventario. Este puede incluir el nombre del propietario, la ubicación de instalación y la fecha de vencimiento. Este inventario proporciona la información necesaria para evaluar los riesgos que representan los certificados vencidos o a punto de caducar. Por lo tanto, será útil para evitar interrupciones en los servicios prestados, así como posibles amenazas a la seguridad.

   Una organización global como Google utiliza herramientas avanzadas de gestión del ciclo de vida de los certificados para realizar análisis en sus diversos sitios web, generar un informe de todos los certificados en uso y destacar los que deben renovarse. De esta forma, el equipo de TI puede movilizarse y gestionar la renovación del servicio con antelación.

   Administrador de CertSecure Automatiza el descubrimiento y la auditoría de certificados TLS/SSL en toda la organización. Proporciona información en tiempo real sobre los atributos de los certificados, su vencimiento y su ubicación. Esto garantiza una evaluación proactiva de riesgos y minimiza las interrupciones del servicio.

2. Configurar las etapas de Descubrimiento y Monitoreo

   El descubrimiento continuo de certificados TLS/SSL es fundamental para la correcta gestión del inventario. Las organizaciones necesitan una plataforma que integre la búsqueda de nuevos certificados y controle su estado para garantizar que ningún certificado quede fuera, e incluso aquellos próximos a caducar se gestionen adecuadamente.

   Una corporación global como Microsoft adopta estas herramientas para la monitorización constante de toda su presencia global. En este sentido, estos sistemas automatizados mejoran la visibilidad y reducen el riesgo de brechas en la cobertura de certificados al detectar todos los certificados activos.

   Administrador de CertSecure Proporciona detección y monitorización continua de certificados en infraestructuras globales. Dispone de un panel centralizado para supervisar todos sus certificados SSL/TLS. Le permite realizar un seguimiento de su estado, fechas de validez y la información de propiedad asociada a cada uno.

3. Incorporar enfoques de evaluación de riesgos

   Es muy importante evaluar el potencial riesgos Revise periódicamente su práctica de gestión de certificados. Esto le ayudará a detectar cualquier vulnerabilidad que pueda explotarse o casos extremos que puedan causar interrupciones en los servicios.

   Para los sistemas de gestión de certificados, las organizaciones orientadas a nuevas tecnologías pueden optar por realizar evaluaciones de riesgos del proyecto cada seis meses. Centrarse en las áreas de alto riesgo y destinarles recursos financieros ayuda a evitar dichas interrupciones y a conservar la confianza de los clientes.

   CertSecure Manager incluye una evaluación de riesgos que evalúa las vulnerabilidades en las prácticas de gestión de certificados. Genera informes detallados del estado de los certificados que destacan las áreas críticas. Permite a las organizaciones asignar recursos eficazmente y mantener la fiabilidad del servicio.

4. Cree políticas y flujos de trabajo centralizados

   Fomente políticas de control para la gestión de certificados en su organización. Deben implementarse procesos viables para cualquier solicitud y aprobación de nuevos certificados, a fin de evitar que los equipos incumplan el nuevo límite de 90 días. Las políticas centralizadas garantizan que todos los certificados de la organización sigan el mismo proceso de emisión, renovación y revocación. Esto también genera coherencia y reduce el riesgo de errores humanos.

   Los flujos de trabajo organizacionales se ven afectados por la implementación de políticas personalizadas en la Gestión del Ciclo de Vida de los Certificados, lo que automatiza y optimiza los procesos clave, reduce el esfuerzo manual y mejora la seguridad. Las empresas con sistemas centralizados... CLM Las políticas experimentan un tiempo de implementación de certificados más rápido, lo que mejora el tiempo de actividad y el cumplimiento del servicio.

   CertSecure Manager ofrece una gestión centralizada de políticas y permite a las organizaciones definir e implementar políticas de uso de certificados. Optimiza los flujos de trabajo de aprobación de nuevas solicitudes de certificados, garantizando así el cumplimiento de los estándares de la organización.

5. Automatizar los procedimientos de renovación

   Renovar manualmente miles de certificados es una tarea tediosa, pero la automatización puede simplificar el proceso de renovación y mejorar la seguridad. Las organizaciones que utilizan gestión automatizada de certificados Las soluciones reducen el tiempo dedicado a las tareas relacionadas con los certificados. Esto se traduce en un ahorro significativo de costes y permite a los equipos de TI centrarse en iniciativas más estratégicas.

   en 2022 estudio de VentureBeat Un estudio mostró que el 81 % de las empresas experimentaron una interrupción relacionada con sus certificados. Esto ocurrió en un plazo de dos años. Esto demuestra los importantes riesgos asociados a una gestión inadecuada de certificados. Estas interrupciones pueden generar pérdidas financieras sustanciales, y el Instituto Ponemon estima que el coste medio de una inactividad de TI puede ser de casi 9,000 dólares por minuto.

   Un gran institución bancaria Ha implementado CertSecure Manager, que automatizó la renovación de certificados para su portal de banca en línea. La automatización de la renovación de certificados digitales funcionó eficientemente y redujo considerablemente el riesgo de inactividad. El acceso de los clientes se mantiene en todo momento sin necesidad de acciones manuales por parte de la institución.

6. Incorporar la gestión de certificados en los procesos de DevOps

   La integración de la gestión de certificados en el marco de Integración Continua/Implementación Continua (CI/CD) aumenta la eficiencia y la seguridad. Esta integración permite garantizar que siempre se utilicen los certificados más recientes para implementar nuevas aplicaciones o actualizaciones, minimizando así los riesgos asociados al uso de certificados caducados en producción.

   La incorporación de la gestión de certificados en los procesos de DevOps mejora el cumplimiento de la seguridad con estándares como PCI DSS (para el procesamiento seguro de pagos), HIPAA (que garantiza la protección de los datos de los pacientes en la atención médica), GDPR (mantener la privacidad y la protección de datos en la UE), SOX (garantizar la integridad de los datos financieros) e ISO 27001 (fomentar la gestión de la seguridad de la información). La automatización de la gestión de certificados en los pipelines de DevOps permite una mejora en la velocidad de implementación. Esto se debe a que se minimizan las intervenciones manuales, lo que permite lanzamientos de software más fiables y rápidos.

   CertSecure Manager se integra perfectamente con los procesos de CI/CD, como Jenkins, Acciones de GitHub y Azure DevOpsy automatiza la emisión e implementación de certificados durante el proceso de compilación. Esto garantiza que solo se utilicen certificados válidos y seguros en producción.

7. Mantener una vigilancia sobre el cumplimiento de la seguridad

   Debido a la rápida rotación de certificados, es importante contar con una herramienta que supervise la seguridad y el cumplimiento normativo periódicamente. Los certificados deben ser gestionados por su sistema de gestión de acuerdo con las mejores prácticas.

   Las grandes compañías de seguros de salud utilizan un software de gestión de certificados para encontrar todos los certificados de la organización trimestralmente y comprobar cuáles son HIPAA Cumplimiento. Esto es importante para proteger la información privada de los pacientes y mantener la confianza de los clientes.

   CertSecure Manager ayuda a las organizaciones a cumplir con los estándares y regulaciones del sector. Funciones como la supervisión y la generación de informes de cumplimiento también son funcionales para los usuarios. Identifica los certificados que no cumplen requisitos específicos, como la HIPAA o PCI-DSSy proporciona información útil para la remediación.

8. Apoya las identidades de Rising Machine

   Con el avance del espacio digital, Cyberark estima que el número de identidades de máquinas se multiplicará por más de 2.4 en los próximos 12 meses. A medida que crece la demanda de gestión de certificados, se espera que el mercado de las autoridades de certificación se expanda significativamente. Investigaciones El informe muestra que el tamaño del mercado global de autoridades de certificación aumentará de $81.7 millones en 2019 a $285.7 millones en 2030. Este crecimiento presenta una tasa de crecimiento anual compuesta (CAGR) del 12.3% entre 2020 y 2030.

   Esto significa que las organizaciones deben asegurarse de que las estrategias de gestión de certificados que tienen implementadas puedan hacer frente a las demandas cambiantes sin preocuparse por problemas de seguridad.

   CertSecure Manager está diseñado para gestionar las demandas de escalabilidad del creciente número de identidades de máquinas. Su aprovisionamiento automatizado de certificados y la gestión del ciclo de vida garantizan un funcionamiento fluido incluso con el crecimiento exponencial del número de identidades de máquinas.

9. Educar y capacitar al personal

   Es fundamental asegurarse de que su equipo comprenda la importancia de los certificados SSL/TLS y su correcto mantenimiento. Las capacitaciones también pueden explicar cómo gestionar certificados con una vida útil más corta y por qué es peligroso descuidar su gestión.

   Las organizaciones tecnológicas organizan sesiones de capacitación sobre gestión eficaz de certificados para sus desarrolladores. Este enfoque fomenta las prácticas de cultura de seguridad y anima a los miembros del equipo a participar en la protección de aplicaciones como parte de su trabajo.

   Administrador de CertSecure Ofrece interfaces intuitivas y guías detalladas, lo que reduce la curva de aprendizaje para los equipos de TI. Además, su plataforma centralizada simplifica la gestión de certificados y facilita que el personal adopte las mejores prácticas con una capacitación mínima.

Estas medidas facilitarán la transición de las organizaciones a certificados TLS/SSL de 90 días sin comprometer la seguridad ni el cumplimiento normativo. Los posibles riesgos asociados a periodos de validez más cortos se mitigarán mediante la automatización y una sólida gestión del ciclo de vida de los certificados, y se mejorará la eficiencia operativa. A medida que cambian los requisitos de seguridad digital, estas iniciativas permitirán a las organizaciones operar incluso en entornos turbulentos sin interrupciones de seguridad. 

¿Cómo puede ayudar Encryption Consulting? 

El reciente anuncio de Google de limitar los certificados SSL/TLS a 90 días ofrece un plazo considerable para que las empresas mejoren sus controles de seguridad. Si bien esta recomendación aún no se ha confirmado, subraya la importancia de gestionar la emisión y el vencimiento de los certificados. Encryption Consulting cubre esta necesidad. Administrador de CertSecure, que gestiona la totalidad ciclo de vida del certificado, comenzando por el descubrimiento y el inventario, pasando por la emisión, renovación y revocación una vez creados los certificados, para garantizar renovaciones oportunas y minimizar la intervención humana. 

Olvídese de los certificados caducados: CertSecure Manager simplifica la gestión de certificados, lo que permite a las empresas centrarse en sus valores fundamentales. La gestión centralizada aumenta el cumplimiento normativo de seguridad y la flexibilidad en las identidades de las máquinas. 

Siempre se esperan desafíos al cambiar a ciclos de vida operativos más cortos, pero las ventajas son aún mayores. En Encryption Consulting se compromete a brindar el mejor asesoramiento y las mejores estrategias durante el período de transición. CertSecure Manager coloca a cualquier organización a la vanguardia de los avances tecnológicos en ciberseguridad, con importantes beneficios obtenidos en el proceso de protección de información confidencial. Solicite una demostración hoy.

Conclusión 

El cambio a una validez de 90 días para los certificados supone un gran cambio en la seguridad digital. Ayuda a las empresas a mejorar la gestión de sus certificados. Una vida útil más corta de los certificados reduce el riesgo de uso indebido, lo que aumenta la seguridad de los sistemas frente a las ciberamenazas. Sin embargo, también implica que las empresas deben renovar los certificados con mayor frecuencia, lo que puede resultar complicado. Para gestionar esto, las empresas deben revisar periódicamente todos sus certificados para evitar que caduquen. Automatizar el proceso de renovación ahorra tiempo y evita errores manuales. Las herramientas de gestión del ciclo de vida de los certificados también deben integrarse con los procesos de CI/CD para optimizar las actualizaciones durante el desarrollo. Gestionar todo desde una única plataforma facilita la organización. Siguiendo estos pasos, las empresas pueden mejorar la seguridad, evitar tiempos de inactividad y garantizar la fiabilidad de sus servicios.