La gestión de certificados es el proceso mediante el cual una organización supervisa y gestiona el ciclo de vida de todos los certificados implementados en una red.
Los certificados digitales, también conocidos como certificados X.509, tienen toda la información necesaria para autenticar la identidad de personas, sitios web y organizaciones, entre otros. Los certificados digitales utilizan un par de claves privadas/públicas único que verifica la información a medida que se desplaza a través de una red, y son fundamentales para identificar y validar las comunicaciones y los comunicadores digitales.
Aunque la certificación digital puede parecer demasiado compleja, emplear un certificado digital es en realidad un proceso muy sencillo.
- El certificado se adquiere de la autoridad de certificación (CA, por sus siglas en inglés), que proporciona una firma digital.
- El certificado se instala en el punto final, como un dispositivo, servidor o sitio web.
- El certificado funciona hasta su vencimiento.
- El administrador revoca el certificado y adquiere uno nuevo, o renueva el certificado.
Los certificados tienen un ciclo de vida bien definido: se emiten, se utilizan y se retiran. Como tales, experimentan un "ciclo de vida" específico. Este ciclo de vida consta de ocho pasos, todos relacionados con procesos vitales con un sistema de gestión de certificados. Si bien algunos de estos pasos del ciclo intermedio pueden ocurrir en un orden diferente al que se presenta aquí, cada certificado debe pasar por cada uno de estos pasos durante el transcurso de su vida útil.
Cuando surge la necesidad de un nuevo certificado, primero se deben configurar conjuntos de cifrado y se debe crear una clave privada, en un proceso conocido como solicitud de firma de certificado (CSR, por sus siglas en inglés). La CSR se envía, recibe y verifica, y la autoridad de certificación procede a emitir un nuevo certificado.
Una vez que se adquiere un certificado, se instala en los puntos finales, como servidores, aplicaciones y dispositivos. Se establecen cadenas de certificados y los certificados raíz e intermedios se deben configurar correctamente para evitar cualquier confusión durante las posibles renovaciones.
Durante el paso de detección, se analiza toda la red para identificar dónde se encuentra cada certificado y si se ha implementado correctamente. Un análisis de detección ayuda a proteger el sistema de vulnerabilidades potencialmente explotables sin resolver mediante la identificación de certificados desconocidos que puedan estar presentes.
La renovación y las revocaciones de certificados son más fáciles cuando se organizan en un inventario central. También se simplifica más cuando los certificados se gestionan en función de la estructura del equipo y de quién los utiliza.
La creación de informes y la supervisión son importantes por dos motivos: en primer lugar, la creación de informes proporciona a los administradores información sobre los certificados y sus estados, al mismo tiempo que respuestas rápidas a preguntas importantes. Por ejemplo, ¿qué certificados se deben renovar? ¿Cuántos se han emitido? ¿Cuáles se deben reemplazar? En segundo lugar, garantiza que el sistema no tenga puntos ciegos. Esto ayuda a los administradores a anticiparse a los vencimientos de las certificaciones y a solucionarlos, lo que evita proactivamente interrupciones en el proceso.
Los certificados tienen una vida útil limitada y una CA debe renovarlos para mantener su validez. El proceso puede automatizarse mediante herramientas de gestor de certificados que envían automáticamente certificados a la CA para su renovación.
Puede haber razones por las que se debe revocar un certificado. Estas razones son: una función de hash se ha depreciado o un administrador desea un tipo diferente de certificado. Un certificado revocado no es válido, lo que es importante para asegurarse de que terceros maliciosos no utilicen un certificado antiguo.
La infraestructura de clave pública (PKI, por sus siglas en inglés) es una de las formas más importantes de comprender la gestión de certificados. La PKI se compone de los roles, las políticas, las personas, el hardware, el software y los sistemas de firmware necesarios para conexiones seguras a través de redes privadas y públicas.
La capa de sockets seguros (SSL, por sus siglas en inglés) y la seguridad de capa de transporte (TLS, por sus siglas en inglés) son los tipos más comunes de PKI. Ambos emplean un sistema de encriptación híbrido que utiliza ambos tipos de encriptación. El certificado de un servidor tiene un par asimétrico privado y público, y la clave de sesión que crea el servidor es simétrica.
La autoridad de certificación es un tercero que proporciona claves y certificados de usuario final. Gestionan el ciclo de vida, incluida la generación, el vencimiento, la revocación y la actualización.
Este es el nivel más alto de la jerarquía de CA. Las CA raíz se mantienen sin conexión de forma segura. Para que una certificación de entidad final sea fiable, la CA raíz debe estar integrada en el sistema operativo, el sistema, el navegador o cualquiera que sea el punto final que esté validando el certificado.
La finalidad principal de una CA subordinada es autorizar y definir los tipos de certificados solicitados. Las CA se encuentran entre las certificaciones de raíz y de entidad final.
Se trata de certificados instalados en máquinas, dispositivos, servidores y hardware criptográfico.
La aplicación cliente se refiere al software del usuario final que solicita y utiliza certificados para negocios electrónicos. Una PKI gestionada también necesita servicios que funcionen con otros componentes, que proporcionan servicios que permiten aplicaciones de comercio electrónico. Entre estos servicios se incluye traer tu propio dispositivo, firma de código, gestión de acceso, servidores de correo electrónico S/MIME, firmas electrónicas legalmente vinculantes y registro automatizado.
Esto proporciona un mecanismo escalable para almacenar y distribuir certificados, listas de revocación de certificados y certificados cruzados a los usuarios finales de la PKI. Estos componentes deben tener una buena capacidad de respuesta debido a su posición central en la PKI.
Los procesos empresariales deben aprovechar los sistemas digitales para funcionar, especialmente a medida que se conectan más y más dispositivos, y cada sistema conectado necesita un certificado para controlar la seguridad. Los administradores deben poder asegurarse de que no haya certificados no deseados y, a menudo, no es factible manejar los procesos manualmente. Los sistemas de gestión especializados ayudan a rastrear los certificados, notificar cuando los certificados estén vencidos o cerca de su fecha de vencimiento, identificar certificados desconocidos y promover una comunicación más segura a través de las redes de una organización.
Además, algunas de las infracciones de la seguridad más dañinas de la historia fueron el resultado de certificados vencidos o se agravaron aún más con certificados vencidos. Por ejemplo, una infracción de 2017 de la agencia de información crediticia Equifax no se descubrió durante casi tres meses, ya que un certificado vencido estaba impidiendo la correcta inspección del tráfico de red. Esto comprometió la información personal de 147 millones de personas. Y Equifax no es el único; LinkedIn, Microsoft, Ericsson y, más recientemente, Google Voice se han visto afectados por no actualizar los certificados.
Los certificados vencidos tienen el potencial de causar interrupciones no planificadas del sistema o abrir agujeros en su seguridad digital a través de los cuales los atacantes pueden obtener acceso a tu red. Esto puede conducir fácilmente a interrupciones del servicio, daño en la reputación, exposición de datos confidenciales de la organización y de los clientes, y multas y sanciones considerables para aquellas empresas que permiten que sus certificados venzan.
Renovar los certificados antes de que venzan es absolutamente esencial. Sin embargo, con la posibilidad de miles de certificados en juego, las empresas se enfrentan a la tarea casi insuperable de actualizar y renovar certificados con múltiples CA y, al mismo tiempo, cumplir con ventanas de mantenimiento planificadas previamente para evitar interrumpir servicios vitales. Quizás aún más problemático es que los certificados en sí mismos carecen de contexto vital para ayudar a las organizaciones a priorizar los certificados críticos, identificar a los dueños de los servicios o incluso determinar qué certificados se deben renovar.
Para garantizar la renovación oportuna de los certificados, las organizaciones necesitan un inventario de certificados único, centralizado y fácil de usar. ServiceNow hace que esto sea una realidad; mediante el uso de los mecanismos de configuración y visibilidad existentes de ServiceNow para identificar certificados, las empresas pueden mantener un registro claro de todos sus certificados, con poco esfuerzo por su parte.
A continuación, al incorporar la automatización avanzada en forma de flujos de trabajo optimizados, las organizaciones pueden optimizar el proceso de renovación, conseguir automáticamente aprobaciones, firmar tareas y abordar eficazmente cualquier certificado vencido. Y, gracias a todo esto, el panel de información de la gestión de certificados de ServiceNow proporciona un resumen completo y detallado de la imagen completa del certificado.
Con ServiceNow, puedes dar a tus certificados esenciales la atención que merecen y evitar el peligro, los daños en la reputación y las sanciones que se aplican al permitir que esos certificados venzan.
Anticípate a los problemas antes de que surjan con ServiceNow.