Una destacada autoridad de certificación advierte a las empresas acerca de futuras actualizaciones en la ciberseguridad, un sector en el que millones de organizaciones a nivel global depositan su confianza.
Hacia finales del presente año y durante 2024, se espera que ocurran modificaciones sustanciales en el mercado de la Infraestructura de Clave Pública (PKI), y las organizaciones de todas las industrias deben estar preparadas para estos cambios. Así lo señala GMO GlobalSign, Inc., una autoridad de certificación (CA) internacional y proveedor líder de soluciones de seguridad de identidad, firma digital y IoT. Entre los cambios destacados se encuentran: la decisión de Google de reducir la duración de los certificados SSL/TLS, los nuevos requerimientos fundamentales del Foro CA/Browser para la seguridad del correo electrónico y los cambios obligatorios Root que Mozilla ha implementado.
Estas modificaciones inminentes tendrán una repercusión considerable en los sectores que utilizan PKI, un sistema en el que confían millones de compañías en todo el mundo. Dichos cambios obligarán a las empresas a ajustar su PKI para asegurar el mantenimiento de la seguridad en cumplimiento con las normas vigentes.
Transición a certificados SSL/TLS de 90 días
Las organizaciones que dependen de PKI deben estar informadas del anuncio de Google del 3 de marzo, en el que propone un límite máximo obligatorio de validez de 90 días para los certificados SSL/TLS. El ciclo de vida actual de los certificados SSL/TLS es de 398 días. Se recomienda encarecidamente a las empresas que evalúen ya sus procesos de ciclo de vida de los certificados y estén preparadas para estos cambios a fin de seguir siendo seguras. Esta evolución puede obligar a las empresas a reestructurar su infraestructura informática y a disponer de nuevas tecnologías, en concreto de automatización, para garantizar una gestión continuada del ciclo de vida de los certificados.
«Los administradores de sitios web tendrán que pasar a la automatización si/cuando entre en vigor el plazo máximo de validez de certificados y reutilización de dominios de 90 días propuesto por Google. Cada vez va a ser más difícil sustituir los certificados mediante CSR generados manualmente e instalaciones posteriores de certificados a medida que se acorten los periodos de validez y revalidación de dominios», afirma Doug Beattie, Vicepresidente de Gestión de Productos de GlobalSign. «Tecnologías como la oferta ACME de GlobalSign ayudan a automatizar las funciones del ciclo de vida de los certificados y garantizan que los certificados se sustituyen automáticamente mediante procesos totalmente automatizados antes de que caduquen. Esto mantiene a las empresas seguras y evita que sus sitios web utilicen certificados caducados, lo que se traduce en pérdidas de negocio».
Cambios en los requisitos básicos de S/MIME
En enero, el CA/B Forum, un consorcio de fabricantes de navegadores, autoridades de certificación y otras organizaciones del ecosistema de certificados digitales, acordó un nuevo conjunto de normas denominadas «Requisitos básicos para la emisión y gestión de certificados S/MIME de confianza pública» para establecer los requisitos detallados del sector para los certificados S/MIME. Las nuevas normas suponen un cambio que entrará en vigor el 1 de septiembre. Esto significará perfiles de certificado estandarizados que requerirán una validación organizativa o individual adicional y, en algunos casos, las CA tendrán que sustituir sus CA S/MIME actuales por otras nuevas y conformes. Disponer de una norma industrial para los certificados S/MIME mejora la interoperabilidad y la seguridad y es paralelo a lo que se ha hecho para los certificados TLS y Code Signing.
Mozilla planea desconfiar de los certificados raíz antiguos
Mozilla ha anunciado planes para eliminar los bits de confianza SSL/TLS y S/MIME en las Roots cuando cumplan 15 y 18 años respectivamente. La medida se toma porque algunas de las Root más antiguas no cumplen los requisitos actuales de las Root y para promover la agilidad criptográfica. Los bits de confianza SSL/TLS de las Root R1 y R3 de GlobalSign se eliminarán en abril de 2025 y abril de 2027, respectivamente. «Como resultado, dejaremos de emitir certificados SSL/TLS bajo estas Roots en 2024 y 2026. A finales de este año se publicarán más detalles sobre los planes de GlobalSign».
Experiencia, conocimientos y fiabilidad
Con 27 años de experiencia, GlobalSign es su fuente fiable de recomendaciones, independientemente del tamaño de la organización, sobre la mejor forma de afrontar estos importantes cambios del sector. Dado que las empresas que utilizan PKI no tienen elección en los cambios que se están realizando en los certificados públicos, es fundamental que las empresas ajusten su postura de seguridad y automatización de PKI lo antes posible para seguir siendo resistentes.
