¿Qué es la gestión del ciclo de vida de los certificados?

La gestión del ciclo de vida de los certificados (CLM) es el proceso formal de gestionar y proteger los certificados digitales de una organización. CLM tiene como objetivo agilizar y automatizar cada etapa del ciclo de vida del certificado: inventario, emisión, implementación, monitorización, renovación, revocación y eliminación.

Los certificados digitales son documentos electrónicos que utilizan criptografía de clave pública para demostrar la identidad de sus portadores. Suelen utilizarse para autenticar identidades no humanas (NHI) como sitios web, servidores, aplicaciones y agentes de IA.  

A medida que las NHI proliferan por la red empresarial, impulsadas por DevOps, los entornos en la nube, la inteligencia artificial (IA) y el machine learning (ML), los certificados se convierten en un componente cada vez más importante de la gestión de identidades y accesos (IAM).

Sin embargo, la explosión de las NHI también significa una explosión de certificados, que deben protegerse de los actores de amenazas como cualquier otra credencial digital.  

Y los certificados conllevan una complicación adicional: las fechas de caducidad. 

Por diseño, los certificados no son válidos para siempre. Si uno caduca antes de poder renovarse, puede provocar grandes interrupciones, cortes de servicio y tiempo de inactividad. Es posible que los clientes no puedan acceder a un sitio web. Habría partes críticas de la infraestructura de red que podrían dejar de funcionar. Los procesadores de pagos pueden dejar de funcionar. 

La gestión del ciclo de vida de los certificados tiene como objetivo proporcionar a las organizaciones herramientas, tácticas y estrategias para simplificar los flujos de trabajo clave relacionados con los certificados, como el seguimiento del estado de los certificados, el control del acceso y la renovación y revocación de los mismos. De esta manera, CLM puede ayudar a mitigar el fraude, el robo y el uso indebido de los certificados y, al mismo tiempo, evitar interrupciones costosas e inesperadas. 

Los certificados digitales, también llamados certificados X.509, por el estándar X.509 que define su formato, son documentos electrónicos que se utilizan para verificar identidades digitales. Los certificados los utilizan principalmente identidades no humanas y de máquinas, como servidores, software, ordenadores y endpoints de Internet de las cosas (IoT).

Los certificados dependen de un marco denominado infraestructura de clave pública (PKI), que utiliza la criptografía asimétrica para validar las identidades de las entidades y asegurar las comunicaciones entre ellas.  

Más concretamente, los criptosistemas asimétricos utilizan dos claves diferentes (una clave pública y una clave privada) para cifrar y descifrar los datos. Cualquiera puede utilizar una clave pública para cifrar datos. Sin embargo, solo los poseedores de la clave privada correspondiente pueden descifrar esos datos.

Los certificados digitales demuestran que una determinada clave privada pertenece a una entidad concreta, y la posesión de un certificado auténtico suele tomarse como prueba de la identidad de esa entidad.  

En cierto sentido, un certificado es un poco como la escritura de una casa: registra a quién pertenece una propiedad (la clave) y, si alguien tiene la escritura, es probable que sea el propietario legítimo de esa propiedad.

Pero esta analogía también revela las limitaciones de los certificados y la importancia de asegurarlos. Si un actor malintencionado roba un certificado, puede fingir ser una entidad de confianza, y otros usuarios podrían creerle, con consecuencias potencialmente desastrosas.  

Por ejemplo, supongamos que un actor de amenazas roba o falsifica una copia del certificado de un sitio web legítimo. A continuación, el atacante realiza una copia maliciosa del sitio web diseñada para robar las credenciales de los usuarios. Como el atacante tiene un certificado aparentemente auténtico, los navegadores web pensarán que su sitio de phishing es real y los usuarios no recibirán ninguna advertencia de que el  sitio es falso. 

Para mitigar el riesgo de caer en malas manos, la mayoría de los certificados solo son válidos durante un período de tiempo limitado. La caducidad de los certificados es una medida de ciberseguridad, al igual que la rotación normal de credenciales. Incluso si los atacantes consiguen un certificado válido, tendrá una utilidad limitada, es decir, si el propietario real no lo revoca primero. 

Un certificado suele incluir:

• El asunto: la persona, máquina, sitio web u otra entidad a la que pertenece el certificado. Los certificados también pueden registrar nombres alternativos de sujeto (SAN), que son otros nombres autorizados para utilizar el certificado. Por ejemplo, el certificado de un sitio web también puede registrar todos los subdominios de ese sitio.  
   

• El emisor: la autoridad de certificación (CA) que emitió el certificado.  
   

• El periodo de validez: cuándo entra en vigor el certificado y cuándo caduca.
   

• La clave pública del sujeto: otros usuarios, humanos o no, pueden utilizar esta clave pública para cifrar sus comunicaciones con el sujeto del certificado. Como el sujeto es el único que tiene la clave privada asociada, solo él puede descifrar estos mensajes para ver lo que dicen.
   

• La firma digital de la autoridad de certificación emisora: esta firma confirma que el certificado fue emitido por una CA legítima, lo que generalmente significa que se puede confiar en él. 

La mayoría de los certificados son emitidos por una autoridad certificadora (CA), un tercero de confianza que verifica la identidad de los solicitantes de certificados y les concede certificados de confianza.

Las CA suelen ser miembros del CA/Browser Forum (CA/B Forum), un consorcio que establece estándares para certificados y autoridades de certificación. Es esta afiliación, y la adhesión a los estándares de CA/B, lo que se gana la confianza de una CA con otras organizaciones, aplicaciones y usuarios. 

Entre las CA más conocidas se encuentran la organización sin ánimo de lucro Let's Encrypt y organizaciones privadas como GlobalSign, DigiCert y Microsoft Active Directory Certificate Services.

El proceso de emisión funciona de la siguiente manera:

1.  La entidad que necesita un certificado (“el sujeto”) genera un par de claves pública-privada.
   
   
2. El sujeto envía una  solicitud de firma de certificado (CSR) a su CA elegida. Esta solicitud incluye la clave pública del sujeto y la información necesaria para demostrar la identidad del sujeto ante la CA. Por ejemplo, es posible que una CSR para un sitio web deba incluir pruebas de que el solicitante es propietario del sitio web en cuestión. 
   
   
3. La CA revisa la CSR, verifica la identidad del sujeto y emite un certificado. El certificado está firmado criptográficamente con la propia clave privada de la CA para demostrar que es legítimo.
   
   
4. El certificado se instala donde sea necesario: en un servidor, en un dispositivo o en cualquier otro lugar.

En esencia, los certificados son un sistema de garantía. El sujeto proporciona a la CA las pruebas necesarias para establecer su identidad digital. La CA emite el certificado con el siguiente texto: Esta identidad es legítima, y aquí tiene una clave para que otros puedan comunicarse con ella de forma segura. Dado que la CA es de confianza, sus certificados son de confianza.

Las entidades también pueden generar sus propios certificados autofirmados, pero estos tienen poco peso fuera de entornos cerrados en los que todas las partes ya confían entre sí.

A veces se denominan certificados SSL o certificados TLS, y son algunos de los certificados más utilizados. Su nombre procede de dos protocolos criptográficos de comunicación utilizados en Internet: Transport Layer Security (TLS) y el en gran medida obsoleto Secure Sockets Layer (SSL).

Los certificados TLS/SSL autentican los servidores web y proporcionan a los navegadores web la clave pública del servidor, lo que permite conexiones seguras y cifradas entre servidores y clientes. 

Hay tres tipos principales:

• Dominio validado (DV): solo verifica la propiedad del sitio web. 

• Organización validada (OV): verifica tanto la propiedad del sitio web como la organización detrás del mismo sitio

• Validación extendida (EV): el tipo más estricto, que requiere verificación manual por parte de un humano. Se utiliza en los sectores que exigen los niveles más altos de confianza, como las finanzas y la banca. 

También llamados certificados S/MIME (por el estándar Secure/Multipurpose Internet Mail Extensions), permiten la verificación de identidad y la comunicación cifrada para el correo electrónico.

Estos verifican que un programa, aplicación, parche u otro fragmento de código es auténtico y no ha sido manipulado. Funcionan aplicando una firma digital al código en el momento de su publicación. El desarrollador firma el código con su clave privada, y cualquier usuario o sistema que ejecute el código puede verificar esa firma con la clave pública correspondiente. 

Las herramientas CLM, también conocidas como soluciones de gestión de certificados, ayudan a simplificar, proteger, agilizar y automatizar gran parte del ciclo de vida de la gestión de certificados. De hecho, muchos aspectos fundamentales de la gestión de certificados, como mostrar todos los certificados activos en una red y renovar los certificados antes de que expiren, son prácticamente imposibles sin estas herramientas.

Las capacidades comunes de las herramientas CLM incluyen: 

• Descubrimiento e inventario automatizados de todos los certificados, con registro de datos clave como la titularidad, la ubicación de instalación y la fecha de caducidad. 

• Generación dinámica de certificados bajo demanda para una mayor seguridad y un acceso simplificado a los certificados.

• CSR total o parcialmente automatizadas, incluida la capacidad de generar nuevos pares de claves, transmisiones seguras de las CSR, integraciones con sistemas de CA de confianza y la posibilidad de crear certificados autofirmados.

• Aprovisionamiento remoto, para que los certificados puedan instalarse directamente en los dispositivos y servicios adecuados desde un único panel de control central.

• Registros de monitorización y cumplimiento para rastrear el uso y la validez de los certificados, detectar los vencimientos pendientes e identificar vulnerabilidades, como estándares criptográficos débiles o en desuso.  

• Notificaciones de certificados que vencen y renovaciones automáticas para evitar interrupciones.

Las identidades no humanas constituyen una proporción cada vez mayor de la red empresarial. Las estimaciones varían, de 45:1 a 92:1, pero en el sistema de TI promedio, los no humanos superan ampliamente en número a los humanos.

Estas NHI se basan en certificados para la autenticación y el control de acceso. Gestionar todos estos certificados de forma manual no solo es ineficaz, sino que no es escalable.

Sin un proceso formal de CLM y las herramientas adecuadas, los certificados pueden pasar desapercibidos, exponiendo a las organizaciones a todo tipo de riesgos.

Por razones de seguridad, los certificados solo son válidos durante periodos cortos, y cada vez son más cortos. En marzo de 2029, entrarán en vigor las nuevas normas del CA/B Forum que exigen que los certificados SSL/TLS se renueven cada 47 días. 

Si las renovaciones de certificados se gestionan manualmente, los plazos pueden incumplirse fácilmente, lo que provoca tiempos de inactividad e introduce vulnerabilidades de seguridad. Los certificados caducados pueden interrumpir el acceso de los usuarios legítimos y crear oportunidades para los ilegítimos, como oportunidades para pasar certificados falsificados o explotar comportamientos de “fallo abierto”. 

(En este contexto, “fallo abierto” significa que, si no se puede realizar una comprobación de validez del certificado, el sistema continuará permitiendo el tráfico a menos que se determine que el certificado no es válido, o hasta que se determine dicha invalidez.) Muchos sistemas de certificados adoptan por defecto un enfoque de  fallo abierto, ya que puede resultar costoso leer una lista CRL o realizar otras comprobaciones de validez cada vez que se utiliza un certificado.

La renovación automatizada, por tanto, es tanto una solución de seguridad como una solución operativa. Las herramientas de CLM ayudan a garantizar el tiempo de actividad y a mitigar el riesgo de que los actores de amenazas puedan robar o hacer un uso indebido de certificados válidos.  

En los entornos híbridos y multinube centrados en DevOps (en los que los certificados pueden existir on-premises, de forma remota, efímera y en una infraestructura basada en la nube), hacer un seguimiento de todos los certificados de una organización puede resultar difícil. 

Las herramientas de CLM permiten un escaneado regular y exhaustivo de los certificados nuevos y existentes en las aplicaciones, los servicios y la infraestructura. Estas herramientas también pueden mantener inventarios y crear una lista de materiales criptográfica (CBOM) para catalogar algoritmos, claves y certificados. 

Un inventario completo de certificados puede incluir el propietario, el propósito, el endpoint, el emisor, la ruta de renovación, la ruta de implementación y el posible radio de explosión de cada certificado en caso de que el certificado caducara inesperadamente.

La computación cuántica representa un caso de uso emergente para CLM. A medida que avanzan las capacidades cuánticas, amenazan con romper los métodos tradicionales de cifrado y erosionar la confianza digital. Las herramientas de CLM pueden ayudar a las organizaciones a adaptarse a los cambios impulsados por la tecnología cuántica mediante la rápida adopción de nuevos estándares de cifrado y la revocación inmediata de los certificados caducados que se basan en métodos de cifrado obsoletos. 

Las organizaciones están empezando a planificar la criptografía poscuántica en todos sus entornos de certificados, y las soluciones se centran ahora en la infraestructura de clave pública (PKI) segura frente a la computación cuántica y en algoritmos emergentes como CRYSTALS-Kyber para el cifrado de claves y CRYSTALS-Dilithium y Falcon para las firmas digitales.

Pero las organizaciones necesitan saber dónde están sus certificados y qué cifrado están utilizando para que estas transiciones tengan éxito. Un certificado perdido puede ser justo lo que los atacantes necesitan para entrar. 

Mediante un descubrimiento e inventario completos, además de renovaciones y revocaciones automatizadas, las herramientas y procesos CLM pueden ayudar a las organizaciones a garantizar que los certificados cumplan con los estándares más actuales de seguridad criptográfica.