Ir al contenido

Webinar: Regístrese para nuestro próximo seminario web

Regístrate Ahora

  1. Centro de Educación
    2. Certificados

¿Qué es la gestión de certificados? ¿SSL y TLS?

Publicado porario kumar 13 Minutos
Renovación automatizada de certificados
Tabla de contenido

Certificados digitales Se utilizan en Internet para autenticar a los usuarios que intercambian datos. Dado que todo sitio web legítimo utiliza un certificado, su gestión es fundamental. Si un certificado fuera robado y utilizado indebidamente, un atacante podría hacerse pasar por otra fuente más legítima e infectar a un usuario con malware a través de su sitio web. La caducidad de un certificado puede provocar una interrupción del servicio, lo que puede provocar la pérdida de clientes potenciales por parte de una organización. Estas son solo algunas razones para obtener más información sobre la gestión de certificados.

¿Qué es la gestión de certificados?

La gestión de certificados es el proceso de monitorizar, procesar y ejecutar cada proceso durante el ciclo de vida de un certificado. Se encarga de emitir, renovar e implementar certificados en los endpoints (servidores, dispositivos, etc.) para garantizar la continuidad de los servicios de red. Además, debe automatizar tareas (emisión, renovación, etc.) y proporcionar información en tiempo real sobre el estado de la infraestructura de la red.

La gestión de certificados ayuda a gestionar la red y a prevenir interrupciones y tiempos de inactividad, a la vez que proporciona una monitorización detallada de toda la infraestructura. Un buen plan de gestión de certificados debe ser compatible con cualquier red, incluso aquellas con miles de dispositivos. Si un certificado caduca o está mal configurado, pueden producirse interrupciones catastróficas en toda la red.

¿Qué es un certificado digital?

Cualquier análisis de la gestión de certificados estaría incompleto sin explicar qué es un certificado digital. Un certificado, también conocido como... SSL / TLS Un certificado es un identificador digital para usuarios, dispositivos y otros puntos finales dentro de una red. Los certificados se vinculan con un par de claves pública/privada y verifican que la clave pública, que coincide con el certificado válido, sea confiable. La función principal de un certificado es garantizar la privacidad de los datos enviados a través de una conexión entre un usuario y un servidor. Los certificados logran esto cifrando y descifrando los datos a medida que se envían a través de la conexión. Esto se logra mediante un protocolo de enlace SSL/TLS.

TLS Handshake

TLS Handshake

Un protocolo de enlace TLS se ejecuta de la siguiente manera:

  1. cliente hola

    El saludo del cliente se produce cuando el cliente envía una solicitud de comunicación al servidor. El saludo incluye la versión de TLS, los conjuntos de cifrado compatibles y una cadena de bytes aleatorios conocida como "cliente aleatorio".

  2. servidor hola

    En el saludo del servidor, el servidor confirma el saludo del cliente. A continuación, se asegura de utilizar una versión de TLS compatible con la del cliente, selecciona un conjunto de cifrado compatible entre los ofrecidos por el cliente y envía su certificado, la clave aleatoria del servidor (similar a la del cliente) y la clave pública al cliente.

  3. Validación de certificado

    La validez del certificado del servidor la verifica primero el cliente a través del Autoridad certificadaLa autoridad de certificación, o CA, es una entidad altamente confiable a la que se le asigna la responsabilidad de firmar y generar certificados digitales.

  4. Cuerda pre-master

    El cliente cifra una cadena aleatoria de bytes, denominada "Cadena Pre-Maestra", con la clave pública del servidor y la envía de vuelta a este. Esto garantiza que solo el servidor pueda descifrar la clave con su propia clave privada, lo que proporciona un nivel adicional de seguridad.

  5. Creación de clave de sesión

    El servidor descifra la clave pre-maestra y luego tanto el cliente como el servidor crean claves de sesión a partir de la clave aleatoria del cliente, la clave aleatoria del servidor y la cadena pre-maestra.

  6. Mensajería terminada

    El cliente y el servidor se envían mensajes indicando que han terminado de crear sus claves y las comparan. Si las claves de sesión coinciden, se completa el protocolo de enlace TLS y estas se utilizan para cifrar y descifrar los datos que se envían entre el servidor y el cliente.

Una vez creados, los certificados pueden utilizarse para la autenticación de servidores, clientes u otros dispositivos. Se consideran válidos durante un periodo determinado y caducan transcurrido dicho plazo. Los certificados siguen un ciclo de vida constante que incluye fases como la creación, la renovación, la suspensión y la caducidad, entre otras. Si se deja caducar, el titular del certificado dejará de ser confiable, lo que provocará la pérdida de servicio del sitio web o dispositivo utilizado. Para obtener un certificado, el usuario o sitio web debe primero pasar por una autoridad de certificación o firmar uno por sí mismo.

Autoridades de Certificación

Los certificados se pueden generar a través de una autoridad de certificación de confianza o firmando un certificado ellos mismos. Las autoridades de certificación, o CA, generan certificados para que los usuarios los utilicen para la autenticación TLS/SSL. Para garantizar que una autoridad de certificación sea de confianza, cadena de confianza La información de la CA se puede rastrear hasta la CA de origen. Una cadena de confianza es una cadena de certificados publicados por CA de confianza, que se remonta a la CA raíz.

Para iniciar el proceso de adquisición de un certificado digital, el solicitante debe enviar una Solicitud de Firma de Certificado (SFC) a la CA. La SFC debe contener la clave pública de un par de claves creado por el solicitante, junto con información que confirme su identidad, como su número de la Seguridad Social o su licencia de conducir. Una vez confirmada la identidad del solicitante, la CA firma y devuelve el certificado, que puede utilizarse para identificarlo.

La otra opción para obtener un certificado es crear uno propio con la misma información y luego autofirmarlo. Esto se usa con menos frecuencia, ya que la identidad del firmante no puede verificarse con otras CA de confianza, lo que hace que el certificado autofirmado sea sospechoso. Por ello, muchos no aceptan un certificado autofirmado, por lo que se recomienda usar una CA para crearlo.

Gestión de certificados

Evite interrupciones de certificados, optimice las operaciones de TI y logre agilidad con nuestra solución de gestión de certificados.

Solicitar demostración

Ciclo de vida del certificado

Hay varias etapas distintas en el ciclo de vida del certificado, que se muestran a continuación.

  • Descubrimiento:

    El descubrimiento es la primera etapa del ciclo de vida de los certificados. En esta fase, se escanea la red para detectar certificados faltantes, caducados o inutilizables. Esta fase también garantiza que los certificados ya existentes se hayan implementado correctamente. También se pueden detectar y corregir o reemplazar certificados con vulnerabilidades y otras debilidades. En esta fase, se suele inventariar conjuntamente los diferentes certificados para permitir el seguimiento de su estado o la agrupación de tipos de certificados relacionados.

  • Creación/Compra

    En esta etapa, la propia CA crea el certificado, o el usuario adquiere uno de una CA de confianza. Se crea el par de claves del certificado y la clave pública, la CSR y la información de identificación personal se envían a la CA para su creación. Si una organización o un usuario no dispone o no desea crear una cadena de CA de confianza, se adquiere un certificado en lugar de crearlo.

  • Instalación

    Esta etapa se encarga de la distribución e instalación del certificado en su ubicación correspondiente. Durante la fase de instalación, se verifican todos los aspectos de la configuración del certificado, incluyendo los pares de claves, los conjuntos de cifrado y la firma digital. A continuación, el certificado se instala en el endpoint correspondiente para el que fue creado y comienza la autenticación de dicho endpoint.

  • Almacenamiento

    Una de las etapas más importantes del ciclo de vida de los certificados es la fase de almacenamiento. Los certificados deben ser accesibles, pero no reutilizables por atacantes, por lo que deben almacenarse en una ubicación segura y centralizada. La fase de almacenamiento también permite inventariar los certificados en grupos, si no se realizó el inventario en la fase de descubrimiento.

  • Monitoring

    Esta es la fase más larga, en la que los certificados se supervisan durante su periodo de caducidad. Una vez alcanzada la fecha de caducidad, o a veces justo antes, algunos sistemas de gestión de certificados los renuevan automáticamente. Si no se utilizan sistemas de gestión de certificados automáticos, un administrador del sistema deberá supervisar los certificados de la red y renovar, revocar o reemplazar cualquier certificado que alcance su fecha de caducidad.

    Tanto la monitorización manual como la automática ofrecen ventajas, que se analizarán en profundidad en la siguiente sección. Sin embargo, hay dos ventajas importantes que destacan sobre las demás. La principal ventaja de la monitorización manual es que, si surge un problema inesperado, el monitor puede reaccionar en tiempo real, mientras que un sistema automático no sabe qué hacer. Por otro lado, la mayor ventaja de un monitor automático es que no se olvidan las renovaciones y revocaciones de certificados, lo que puede ocurrir si una persona supervisa los certificados durante años.

  • Renovación

    El proceso de renovación de certificados comienza una vez vencida su validez. Una vez que el usuario o los sistemas automatizados deciden renovar el certificado, se reenvía una CSR a la CA emisora ​​original para su renovación. El proceso es similar al de la creación original del certificado, pero mucho más rápido.

  • Revocación

    Si la CA emisora ​​ha sido dada de baja, un certificado se está utilizando indebidamente o por otras razones, este puede ser revocado. Una vez revocado, el certificado se coloca en una Lista de Revocación de Certificados (CRL), si hay una CRL en uso. Una CRL es una lista de certificados revocados por la CA que ya no son confiables. Si el certificado de una CA emisora ​​está en una CRL, dicha CA no puede usarse en una cadena de confianza para otras CA o certificados. Una desventaja de usar CRL es que los certificados revocados solo se publican periódicamente, no cada vez que se revoca un certificado. Esto significa que un usuario podría renovar su certificado con la CA emisora, incluso si hace unas horas se le revocó por uso ilegítimo.

  • DE MOLARES

    Si se revoca el certificado de una CA o si el titular del certificado desea cambiar de certificados de pago a su propia Infraestructura de Clave Pública, se produce la fase de reemplazo. Esto ocurre con menos frecuencia, ya que es más sencillo simplemente renovar un certificado con la CA emisora ​​original.

    El ciclo de vida de los certificados no es inamovible. Distintas organizaciones tendrán distintas etapas, las combinarán o incluso omitirán etapas completas. El ciclo de vida de los certificados se considera un ciclo de vida de certificado siempre que se descubran, creen, almacenen, supervisen y renueven.

Infraestructura manual vs. automatizada

Uno de los aspectos más importantes de la política de seguridad de datos de una empresa es la infraestructura de gestión de certificados implementada. Una infraestructura manual implica que un empleado cree una hoja de cálculo para realizar un seguimiento de los períodos de validez, las políticas, las revocaciones y los datos de configuración de todos los certificados de la organización. Este método funciona con empresas pequeñas cuya infraestructura solo gestiona unos pocos certificados, pero muchas empresas grandes pueden tener miles de certificados, lo que complica demasiado las infraestructuras manuales. La otra opción es crear una infraestructura automatizada del ciclo de vida de los certificados, que es el método más común. A continuación, se muestra una tabla que destaca las diferencias entre las infraestructuras de gestión de certificados manuales y automatizadas.

Infraestructura manual Infraestructura automatizada
Etapas del ciclo de vida

Se gestiona mediante una hoja de cálculo y un usuario que realiza un seguimiento de todos los certificados dentro de la organización.

Optimizado y gestionado automáticamente; Certificados renovados, reemplazados o revocados tan pronto como sea necesario

Costo operacional

Cuesta muchas horas-hombre

Menos costo y no se necesitan horas de trabajo

Seguridad

El empleado a cargo debe realizar un seguimiento constante para garantizar que los certificados no caduquen.

Es vigilado constantemente por el software instalado en la infraestructura, lo que permite una rápida renovación o sustitución de certificados.

Implementación

Fácil y rápido de implementar; solo se requiere una hoja de cálculo

El software debe implementarse correctamente o los certificados no se monitorearán correctamente

Estas razones, y otras más, son las que explican por qué se utilizan sistemas automatizados de gestión del ciclo de vida de los certificados. Infraestructuras de clave pública.

La importancia de la gestión de certificados

Una de las razones más importantes para contar con un sistema de gestión de certificados sólido y automatizado es contar con su propia Infraestructura de Clave Pública (PKI). Una PKI es una infraestructura creada para autenticar usuarios mediante certificados digitales. Las PKI también pueden cifrar las comunicaciones. La PKI más común es TLS/SSL, que utiliza cifrado simétrico y asimétrico para proteger las conexiones entre dos usuarios. La confianza fundamental de una PKI proviene de los certificados intercambiados entre ambos lados de la conexión. La mayoría de las PKI utilizan una arquitectura de dos capas, que incluye una CA raíz y una CA emisora.

Una CA raíz es una autoridad de certificación que se mantiene fuera de línea y crea un certificado para la CA emisora ​​en línea. Esto crea una cadena de confianza con todos los certificados emitidos por la CA emisora, ya que la CA raíz se mantiene fuera de línea, por lo que está protegida contra intenciones maliciosas. Las CA emisoras distribuyen certificados a usuarios finales y dispositivos. La arquitectura de tres niveles, menos común para una PKI, incluye una CA intermedia entre la CA raíz y la emisora, que actúa como intermediario entre ambas.

La razón por la que las PKI utilizan principalmente la gestión automatizada de certificados es que resulta más seguro crear una PKI correctamente una vez y luego dejar que los servicios automatizados mantengan los certificados actualizados. Esto reduce los costes para la empresa, las horas de trabajo necesarias para mantener la PKI en funcionamiento y los errores humanos. Dado que muchas organizaciones crean su propia PKI, una gestión adecuada de certificados es clave para el plan de seguridad de cualquier empresa.

Otra razón por la que se concede tanta importancia a la gestión de certificados es la necesidad de que cada dispositivo y usuario conectado a Internet cuente con un certificado digital. Cada vez que un usuario o dispositivo se conecta a un sitio web, se verifica la autenticidad de su certificado digital, junto con el certificado del sitio web. Con una sólida cadena de confianza y un certificado válido, se puede acceder a cualquier lugar en Internet.  

Sin embargo, un certificado es inválido o ha caducado si el usuario o el dispositivo al que pertenece no puede acceder a la mayoría de los sitios web, ya que no se puede establecer una conexión segura. Lo mismo ocurre con los certificados de sitios web. Si su certificado digital no es válido, los usuarios no podrán usar ese sitio web por temor a que su dispositivo se infecte con malware o virus.

Otra razón para garantizar una gestión sólida de certificados es evitar filtraciones en una organización. Si se permitiera el acceso de un certificado a una red, incluso con CA no confiables en su cadena de confianza, su propietario podría robar datos confidenciales o usar indebidamente los datos de la empresa con fines maliciosos. Además, si los certificados no se almacenan correctamente, un atacante podría robarlos y hacerse pasar por un usuario legítimo, mientras roba, modifica o elimina datos confidenciales.

Gestión de certificados

Evite interrupciones de certificados, optimice las operaciones de TI y logre agilidad con nuestra solución de gestión de certificados.

Solicitar demostración

Otros usos del certificado

Existen otros usos para los certificados digitales, que se enumeran a continuación.

  • Portales de intranet
  • Sitios web de comercio electrónico
  • VPNs
  • Sistema de punto de venta
  • Dispositivos de Internet de las cosas
  • Desarrollo de aplicaciones
  • Firma de código
  • Firma de correo electrónico
  • Gestión de claves SSH
  • Servicios Financieros
  • Sitios web de atención al cliente
  • Autenticación en la nube

Gestión de certificados con consultoría de cifrado

Encryption Consulting ofrece una solución especializada en gestión del ciclo de vida de los certificados. Administrador de CertSecureDesde el descubrimiento y el inventario hasta la emisión, implementación, renovación, revocación y generación de informes, CertSecure ofrece una solución integral. La generación inteligente de informes, las alertas, la automatización, la implementación automática en servidores y la inscripción de certificados añaden niveles de sofisticación, convirtiéndolo en un recurso versátil e inteligente.

Explore

Más temas