Coautor:Jeremy Rowley
Es posible que el usuario de la web medio no sea consciente de la cantidad de trabajo que conlleva garantizar la seguridad del mundo digital. Pero los sitios web, los correos electrónicos, los servidores y el software no son fiables por defecto, sino que necesitan certificados digitales emitidos por autoridades de certificación (CA) para ser de confianza. Los encargados de determinar si esas CA son fiables son diferentes organismos de normalización como el Certification Authority/Browser (CA/B) Forum.
Algunas veces, debido a un error humano o fallos en el código, los certificados emitidos no cumplen los requisitos normativos estrictos de los operadores de los almacenes de raíces. Cuando esto ocurre, se espera que la CA ofrezca total transparencia sobre lo sucedido, revoque los certificados y ayude a la comunidad a aprender de los errores.
Sin embargo, como vimos en nuestro artículo Google anuncia que deja de confiar en los certificados de Entrust, las consecuencias de no reparar el daño a tiempo pueden ser catastróficas tanto para la CA como para sus clientes.
En junio de 2024, el equipo de seguridad de Google Chrome anunció que a partir del 31 octubre de 2024. Unos meses antes, Entrust reconoció la existencia de errores de emisión en .
El plazo de revocación de certificados con errores de emisión que establecen los es muy corto (24horas o cinco días, en función de la naturaleza del problema). La CA, normalmente, puede corregir el problema sin que este afecte demasiado a las empresas, pero Entrust no tomó ninguna medida para revocar o reemplazar los certificados afectados.
Esta inacción puede tener consecuencias para las organizaciones como interrupciones del servicio, incertidumbre sobre el estado de la CA y una pérdida de confianza por parte de los clientes. Y, en el caso de las CA que como Entrust no revocan ni reemplazan los certificados que contienen errores de emisión, el efecto puede ser que los navegadores web les retiren su confianza, tal y como hizo Google en 2024.
Los fallos en el software son algo común, por lo que los errores en la emisión ocurren incluso en los ciclos de vida de desarrollo de software más sofisticados. Cuando esto sucede, el objetivo principal de la CA debe ser determinar dónde se ha producido el error y asegurarse de que nunca vuelva a pasar.
En 2023, TV descubrió que 300certificados emitidos para un fabricante de dispositivos global no cumplían con las rigurosas normas sobre perfiles que establecen los requisitos básicos del CA/B Forum. Según esos requisitos, debíamos revocar los certificados en cinco días, de lo contrario, estaríamos cometiendo una infracción y contraviniendo unos requisitos que, como CA y entidad de confianza pública, nos habíamos comprometido a cumplir.
Solo había un problema: tras hablar con el cliente, llegamos a la conclusión de que revocar los certificados en cinco días podría provocar una interrupción del servicio masiva y dejar inutilizados sistemas críticos de los que dependía la seguridad del consumidor. Analizamos la situación con el fabricante y finalmente estimamos que necesitaría un mes para reemplazar todos los certificados que contenían errores de emisión.
Incumplir las normas del CA/B no era una opción, como tampoco lo era revocar los certificados sin haber emitido antes otros que ocupasen su lugar. Por lo tanto, hablamos con la comunidad y trabajamos con nuestros clientes sin descanso para que los nuevos certificados estuvieran preparados y en pleno funcionamiento a tiempo.
Aunque fue un proceso estresante para todas las partes implicadas, pararnos a analizar y ver qué es lo que había fallado sirvió para que nuestro cliente tomase medidas para evitar que los certificados con errores de emisión se convirtieran en un problema persistente.
Estas son dos recomendaciones que haríamos a cualquier empresa que dependa de certificados para garantizar la seguridad:
El CA/B Forum solo establece normas para los certificados de confianza públicos, por lo que el plazo de revocación de cinco días no se aplica a los certificados de confianza privados. Para nuestro cliente fabricante de dispositivos, utilizar certificados de confianza públicos en dispositivos que no los necesitaban —en este caso, dispositivos conectados— se convirtió en una fuente de problemas innecesarios.
¿Nuestra recomendación? Examine el uso que da a sus certificados y cambie los certificados de confianza públicos por privados en los casos en los que baste con estos últimos. Así, se ahorrará el riesgo de sufrir revocaciones que interrumpan su actividad.
Estos son algunos de los usos más habituales de los certificados de confianza privados:
También recomendamos ejecutar comprobaciones del cumplimiento normativo automatizadas en los certificados con pkilint, el linter para certificados de código abierto gratuito de TV.
Muchas empresas todavía utilizan hojas de cálculo para hacer un seguimiento de sus certificados de forma manual. Si se cuenta con una solución de gestión del ciclo de vida de los certificados (CLM), cumplir con el plazo de cinco días del CA/B Forum no es un problema. Sin embargo, sin una solución de este tipo, reemplazar los certificados que contienen errores de emisión puede convertirse en un proceso manual tedioso que dure varias semanas.
Si su empresa todavía no utiliza una CLM completa, le recomendamos que implemente una solución como TV Trust Lifecycle Manager, con la que obtendrá:
La confianza digital de la que tanto hablamos en TV no es un concepto abstracto, sino algo objetivo y cuantificable. Los sitios web y los productos digitales de las empresas pueden estar protegidos por certificados de confianza o pueden no estarlo. Las CA pueden adherirse a las normas establecidas por grupos como el CA/B Forum o pueden no hacerlo.
Cuando una CA acepta formar parte de una comunidad de confianza, su fiabilidad se mide por la transparencia y voluntad que muestre para actuar conforme a las reglas. Un error de emisión por sí solo no implica que ya no se pueda confiar en la CA automáticamente. Lo que de verdad importa es el motivo detrás del problema, el aprendizaje que la CA puede extraer de él y la manera que esta tiene de gestionar este tipo de incidentes.
¿Le gustaría informarse mejor sobre temas como la gestión del ciclo de vida de los certificados, la confianza digital o las soluciones de confianza digital de TV? Suscríbase al blog de TV para no perderse ningún artículo.