¿Qué es la gestión del ciclo de vida de los certificados?
La gestión del ciclo de vida de los certificados (CLM) es el proceso formal de gestión y protección de los certificados digitales de una organización. La CLM tiene como objetivo optimizar y automatizar cada etapa del ciclo de vida del certificado: inventario, emisión, despliegue, monitoreo, renovación, revocación y eliminación.
Los certificados digitales son documentos electrónicos que utilizan criptografía de clave pública para probar la identidad de sus portadores. A menudo se utilizan para autenticar identidades no humanas (NHI), como sitios web, servidores, aplicaciones y agentes de IA.
A medida que las NHI proliferan en la red empresarial, impulsadas por DevOps, los entornos en la nube, la inteligencia artificial (IA) y el machine learning (ML), los certificados se convierten en un componente cada vez más importante de la gestión de identidad y acceso (IAM).
Sin embargo, la explosión de las NHI también significa una explosión de certificados, que deben protegerse de los actores de amenazas como cualquier otra credencial digital.
Además, los certificados plantean una complicación adicional: las fechas de vencimiento.
Por diseño, los certificados no permanecen válidos para siempre. Si una licencia caduca antes de que se pueda renovar, esto puede provocar graves problemas, interrupciones en el servicio y tiempos de inactividad. Es posible que los clientes no puedan acceder a un sitio web. Es posible que algunos componentes críticos de la infraestructura de red dejen de funcionar. Los procesadores de pagos también.
La gestión del ciclo de vida de los certificados tiene como objetivo brindar a las organizaciones herramientas, tácticas y estrategias para simplificar los flujos de trabajo de certificados clave, como el seguimiento del estado de los certificados, el control del acceso y la renovación y revocación de certificados. De esta manera, la CLM puede ayudar a mitigar el fraude, el robo y el uso indebido de certificados, al tiempo que evita interrupciones costosas e inesperadas.
Las últimas noticias tecnológicas, respaldadas por los insights de expertos
Manténgase al día sobre las tendencias más importantes e intrigantes de la industria sobre IA, automatización, datos y más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Los certificados digitales (también llamados certificados X.509, en referencia al estándar X.509 que define su formato) son documentos electrónicos usados para verificar identidades digitales. Los certificados son utilizados principalmente por identidades no humanas y de máquinas, como servidores, software, computadoras y endpoint del Internet de las cosas (IoT).
Los certificados se basan en un marco denominado infraestructura de clave pública (PKI), que utiliza criptografía asimétrica para validar la identidad de las entidades y proteger las comunicaciones entre ellas.
Más concretamente, los sistemas criptográficos asimétricos utilizan dos claves diferentes (una clave pública y una clave privada) para cifrar y descifrar datos. Cualquiera puede usar una clave pública para cifrar datos. Sin embargo, solo los titulares de la clave privada correspondiente pueden descifrar esos datos.
Los certificados digitales demuestran que una clave privada concreta pertenece a una entidad determinada, y la posesión de un certificado auténtico suele considerarse una prueba de la identidad de dicha entidad.
En cierto sentido, un certificado es un poco como la escritura de una casa: registra a quién pertenece una propiedad (la llave) y, si alguien tiene la escritura, es probable que sea el propietario legítimo de esa propiedad.
Pero esta analogía también revela las limitaciones de los certificados y la importancia de protegerlos. Si un actor malicioso roba un certificado, puede fingir ser una entidad de confianza, y otros usuarios podrían creerle, con consecuencias potencialmente desastrosas.
Por ejemplo, supongamos que un actor de amenazas roba o falsifica una copia del certificado de un sitio web legítimo. A continuación, el atacante crea una copia maliciosa del sitio web diseñada para robar las credenciales de los usuarios. Debido a que el atacante tiene un certificado aparentemente auténtico, los navegadores web pensarán que su sitio de phishing es real y los usuarios no recibirán ninguna advertencia de que el sitio es falso.
Para reducir el riesgo de que caigan en manos equivocadas, la mayoría de los certificados solo son válidos durante un período limitado. El vencimiento de los certificados es una medida de ciberseguridad, al igual que la rotación regular de credenciales. Incluso si los atacantes obtienen un certificado válido, tendrá un uso limitado, es decir, si el propietario real no lo revoca primero.
¿Qué información contienen los certificados?
Un certificado suele incluir:
El sujeto: la persona, máquina, sitio web u otra entidad a la que pertenece el certificado. Los certificados también pueden registrar nombres alternativos de los titulares (SAN), que son otros nombres autorizados para usar el certificado. Por ejemplo, el certificado de un sitio web también puede registrar todos los subdominios de ese sitio.
El emisor: la autoridad de certificación (CA) que emitió el certificado.
El periodo de validez: cuando el certificado entra en vigor y cuando vence.
La clave pública del titular: otros usuarios, humanos o no humanos, pueden usar esta clave pública para cifrar sus comunicaciones con el titular del certificado. Dado que el titular es el único que posee la clave privada asociada, solo este puede descifrar estos mensajes para ver su contenido.
La firma digital de la autoridad de certificación emisora: esta firma ratifica que el certificado fue emitido por una CA legítima, lo que generalmente significa que se puede confiar en él.
Cómo se emiten los certificados
La mayoría de los certificados son emitidos por una autoridad de certificación (CA), un tercero de confianza que verifica las identidades de los solicitantes de certificados y les otorga certificados confiables.
Las CA suelen ser miembros del CA/Browser Forum (CA/B Forum), un consorcio que establece estándares para certificados y autoridades de certificación. Es precisamente esta afiliación, junto con el cumplimiento de las normas de las CA/B, lo que permite a una CA ganarse la confianza de otras organizaciones, aplicaciones y usuarios.
Las CA conocidas incluyen la organización sin fines de lucro Let's Encrypt y organizaciones privadas como GlobalSign, DigiCert y Microsoft Active Directory Certificate Services.
El proceso de emisión funciona de la siguiente manera:
- La entidad que necesita un certificado (“el titular”) genera un par de claves público-privadas.
- El interesado envía una solicitud de firma de certificado (CSR) a su CA elegida. Esta solicitud incluye la clave pública del interesado, así como la información necesaria para demostrar su identidad ante la CA. Por ejemplo, es posible que una CSR para un sitio web deba incluir pruebas de que el solicitante es propietario del sitio web en cuestión.
- La CA revisa la CSR, verifica la identidad del titular y emite un certificado. El certificado está firmado criptográficamente por la propia clave privada de la CA para demostrar que es legítimo.
- El certificado se instala donde sea necesario: en un servidor, en un dispositivo o en cualquier otro lugar.
En esencia, los certificados son un sistema de aval. El titular proporciona a la CA las pruebas necesarias para establecer su identidad digital. La CA firma y dice: Esta identidad es legítima, y aquí hay una clave para que otros puedan comunicarse con ella de forma segura. Debido a que la CA es de confianza, sus certificados son de confianza.
Las entidades también pueden generar sus propios certificados autofirmados, pero estos tienen poco peso fuera de entornos cerrados donde todas las partes ya confían entre sí.
Tipos de certificados
Certificados TLS/SSL
A veces llamados certificados SSL o certificados TLS, estos se encuentran entre los certificados más utilizados. Su nombre proviene de dos protocolos de comunicaciones criptográficas utilizados en Internet: Transport Layer Security (TLS) y Secure Sockets Layer (SSL), en gran parte obsoleto.
Los certificados TLS/SSL autentican los servidores web y proporcionan a los navegadores web la clave pública del servidor, lo que permite conexiones seguras y cifradas entre servidores y clientes.
Hay tres tipos principales:
Dominio validado (DV): verifica solo la propiedad del sitio web.
Organización validada (OV): verifica tanto la propiedad del sitio web como la organización detrás del sitio web.
Validación extendida (EV): el tipo más estricto, que requiere verificación manual por parte de un humano. Utilizado en industrias que demandan los niveles más altos de confianza, como finanzas y banca.
Certificados de correo electrónico
También llamados certificados S/MIME (por el estándar Secure/Multipurpose Internet Mail Extensions), permiten la verificación de identidad y la comunicación cifrada para el correo electrónico.
Certificados de firma de código
Estos verifican que un programa, aplicación, parche u otro fragmento de código sea auténtico y no haya sido manipulado. Funcionan aplicando una firma digital al código en el momento de la publicación. El desarrollador firma el código con su clave privada, y cualquier usuario o sistema que ejecute el código puede verificar esa firma con la clave pública correspondiente.
La detección de certificados consiste en escanear una red y todos los activos e infraestructura conectados para identificar cualquier certificado activo utilizado por hardware, software, máquinas virtuales y usuarios.
La emisión de certificados implica solicitar y recibir de manera segura nuevos certificados de una CA.
A veces llamado “despliegue”, el aprovisionamiento de certificados implica la instalación de certificados en los dispositivos, aplicaciones o servicios adecuados.
La supervisión de certificados es el proceso de realizar un seguimiento del uso de los certificados para garantizar que estos sean utilizados únicamente para los fines previstos por entidades autorizadas que cuenten con los permisos adecuados.
La renovación de certificados consiste en renovar o volver a emitir los certificados que están a punto de caducar.
La revocación de un certificado es la invalidación intencionada de un certificado antes de su fecha de vencimiento. La revocación suele activarse cuando un certificado se ve comprometido; por ejemplo, si el certificado o la clave privada asociada son robados.
Los certificados también se revocan cuando ya no son válidos, por ejemplo, tras un cambio de dominio.
Cuando un sujeto necesita revocar su certificado, solicita a la CA emisora que agregue ese certificado a una lista de revocación de certificados (CRL). Como su nombre indica, una CRL es una lista de certificados no válidos. Si alguien o algo intenta autenticarse con el certificado revocado, ya sea de forma maliciosa o accidental, la otra parte verá el certificado en la CRL y lo rechazará.
La eliminación de certificados consiste en la destrucción segura de los certificados que han caducado o que ya no son necesarios, incluidas las copias de seguridad o claves asociadas.
Las herramientas de CLM, también conocidas como soluciones de gestión de certificados, ayudan a simplificar, proteger, agilizar y automatizar gran parte del ciclo de vida de la gestión de certificados. De hecho, muchos aspectos centrales de la gestión de certificados, como mostrar todos los certificados activos en una red y renovarlos antes de que caduquen, son prácticamente imposibles sin estas herramientas.
Las capacidades comunes de las herramientas de CLM incluyen:
Detección e inventario automatizados de todos los certificados, con registro de datos clave como la titularidad, la ubicación de instalación y la fecha de vencimiento.
Generación dinámica de certificados bajo demanda para una mayor seguridad y un acceso simplificado a los certificados.
CSR totalmente o parcialmente automatizadas, incluyendo la capacidad de generar nuevos pares de claves, transmisiones seguras de CSR, integraciones con sistemas de CA de confianza y la posibilidad de crear certificados autofirmados.
Aprovisionamiento remoto, lo que permite instalar certificados directamente en los dispositivos y servicios correspondientes desde un único panel de control central.
Registros de supervisión y cumplimiento para realizar un seguimiento del uso y la validez de los certificados, detectar vencimientos inminentes e identificar vulnerabilidades, como estándares criptográficos débiles u obsoletos.
Notificaciones sobre certificados a punto de caducar y renovaciones automáticas para evitar interrupciones del servicio.
Las identidades no humanas representan una proporción cada vez mayor de la red empresarial. Las estimaciones varían, de 45:1 a 92:1, pero en el sistema informático promedio, los no humanos superan ampliamente en número a los humanos.
Estas NHI dependen de certificados para la autenticación y el control de acceso. La gestión manual de todos estos certificados no solo es ineficiente, sino que no es escalable.
Sin un proceso formal de CLM y las herramientas adecuadas, los certificados pueden pasar desapercibidos, exponiendo a las organizaciones a todo tipo de riesgos.
Caducidad de certificados, robo y fraude
Por motivos de seguridad, los certificados solo son válidos durante períodos cortos, y estos períodos son cada vez más breves. En marzo de 2029, entrarán en vigor los nuevos estándares del CA/B Forum que exigen que los certificados SSL/TLS se renueven cada 47 días.
Si las renovaciones de certificados se manejan manualmente, los plazos pueden incumplirse fácilmente, lo que genera tiempo de inactividad e introduce vulnerabilidades de seguridad. Los certificados vencidos pueden interrumpir el acceso de los usuarios legítimos y crear oportunidades para los ilegítimos, como oportunidades para aprobar certificados falsificados o explotar comportamientos de “apertura fallida”.
(En este contexto, “apertura fallida significa que, si no se puede llevar a cabo una verificación de validez de certificado, el sistema continuará permitiendo el tráfico salvo o hasta que se establezca la invalidez. Muchos sistemas de certificados fallan al abrirse de forma predeterminada, porque puede ser costoso leer una CRL o realizar otras comprobaciones de validez cada vez que se utiliza un certificado).
Por lo tanto, la renovación automática es tanto una solución de seguridad como una solución operativa. Las herramientas de CLM ayudan a garantizar el tiempo de actividad y mitigan el riesgo de que los actores de amenazas puedan robar o hacer un mal uso de certificados válidos.
Inventario y observabilidad
En entornos híbridos y multinube centrados en DevOps, donde los certificados pueden existir on premises, de forma remota, efímera y en una infraestructura basada en la nube, realizar un seguimiento de todos los certificados de una organización puede ser difícil.
Las herramientas de CLM permiten un escaneo regular y completo de certificados nuevos y existentes en aplicaciones, servicios e infraestructura. Estas herramientas también pueden gestionar inventarios, creando una lista de materiales criptográficos (CBOM) para catalogar algoritmos, claves y certificados.
Un inventario completo de certificados puede incluir el titular, la finalidad, el endpoint, el emisor, la ruta de renovación y la ruta de despliegue de cada certificado, así como el alcance potencial de los efectos negativos en caso de que el certificado caducara de forma inesperada.
Preparación cuántica
La computación cuántica representa un caso de uso emergente para la CLM. A medida que avanzan las capacidades cuánticas, amenazan con averiar los métodos de cifrado tradicionales y erosionar la confianza digital. Las herramientas de CLM pueden ayudar a las organizaciones a adaptarse a los cambios impulsados por la tecnología cuántica mediante la rápida adopción de nuevos estándares de cifrado y la revocación inmediata de los certificados obsoletos que se basan en métodos de cifrado anticuados.
Las organizaciones están comenzando a planificar la criptografía postcuántica en todos sus entornos de certificados, con soluciones que ahora se centran en la infraestructura de clave pública (PKI) de seguridad cuántica y algoritmos emergentes como CRYSTALS-Kyber para el cifrado de claves y CRYSTALS-Dilithium y Falcon para firmas digitales.
Pero para que estas transiciones tengan éxito, las organizaciones deben saber dónde se encuentran sus certificados y qué tipo de cifrado utilizan. Un solo certificado que falte puede ser justo lo que los atacantes necesitan para entrar.
Mediante un descubrimiento e inventario completos, además de renovaciones y revocaciones automatizadas, las herramientas y procesos de CLM pueden ayudar a las organizaciones a garantizar que los certificados cumplan con los estándares más actuales de seguridad criptográfica.
Recursos
Las soluciones de redes de IBM ofrecen conectividad centrada en aplicaciones y de alto rendimiento, que las hace ideales para las empresas digitales actuales.
Proteja su infraestructura en la nube y servidores de actividades maliciosas con la seguridad de red de IBM Cloud.
IBM Cloud es una plataforma en la nube diseñada para industrias reguladas, que proporciona soluciones abiertas, seguras, híbridas y preparadas para la IA.