Controlar la vigencia de los certificados, clave para proteger la presencia digital

Publicado el 02 Nov 2021

Certificados y seguridad
Por Vasudevan Seshadri, product manager de ManageEngine

En los últimos 6 meses, el tráfico de Internet se ha duplicado a medida que las empresas se desplazaron en línea para mantener sus operaciones. Casi todas las organizaciones ahora confían en la transferencia de datos para mantener las operaciones habituales junto con las funciones de misión crítica.

En el sector de la salud, el flujo de datos a través de Internet permite a los principales sistemas de salud brindar atención de rutina y operar equipos médicos críticos que salvan vidas. Sin embargo, esta transferencia segura de datos, que es el elemento vital de todas las empresas, se ve amenazada por la mala gestión de los certificados de seguridad del sitio web, lo que provoca interrupciones imprevistas del sitio, que pueden causar un daño inmenso a la eficiencia operativa y la reputación de una organización.

Desde solo http en el pasado, la mayor parte de Internet ahora está protegido con https. Los principales proveedores de navegadores desempeñaron un papel importante en la seguridad de Internet al obligar a que los sitios web implementen certificados SSL/TLS que protejan mediante cifrado a los datos que transitan entre servidores y clientes contra piratas informáticos.

Los certificados SSL/TLS juegan un papel importante en todo esto. Existen varias autoridades de certificación (AC) comerciales como Digicert, Sectigo, entre otras, que distribuyen certificados digitales que son aceptados y confiables en los navegadores de todo el mundo. También hay proveedores gratuitos basados en ACME como Let’s Encrypt, BuyPass y FreeSSL.  

El surgimiento de certificados SSL/TLS de corta duración     

En el pasado, los proveedores comerciales emitían certificados que eran válidos por un período de tiempo relativamente más largo, entre 2 y 5 años. Esto fue conveniente para su implementación, pero menos seguro. Dados los problemas de seguridad con los certificados de mayor duración, los navegadores Safari de Apple y Google Chrome ya no confiarán en los certificados SSL/TLS con una validez de más de 398 días (este es el equivalente a un certificado de un año más el período de gracia de renovación). Los proveedores basados en ACME como Let’s Encrypt emiten certificados con una validez de 90 días.  

La caducidad imprevista, un gran problema para las empresas online  

Cuando un certificado SSL/TLS vinculado a su dominio comercial caduca, los navegadores marcan su sitio web como inseguro para que los visitantes no compartan sus datos personales. Esto se debe a que cuando la autoridad emisora del certificado ya no lo considera válido, lo que pone en peligro el cifrado y la autenticación mutua que forman los pilares de la seguridad en Internet.

El mayor impacto que enfrentan las organizaciones debido a tales vencimientos imprevistos de los certificados es la pérdida de credibilidad de la marca entre sus posibles clientes. Las alertas de seguridad emitidas por navegadores indiscutiblemente autorizados como Google y Apple afectan la reputación que ha construido una empresa, lo que lleva a los visitantes a sitios web alternativos y, finalmente, hace que el tráfico web caiga en picada.  

Ha habido importantes incidentes en los que se perdieron las renovaciones de certificados y las empresas sufrieron las consecuencias, como la caducidad del certificado SSL de LinkedIn, la interrupción de Microsoft Teams, etc.

Una razón común por la que las organizaciones tienden a pasar por alto la caducidad de los certificados es la falta de automatización. El desafío es mínimo para las pequeñas y medianas empresas (Pymes) que operan mediante la implementación de un puñado de certificados (como máximo) para llevar a cabo sus operaciones comerciales. Mientras que, por otro lado, las grandes empresas experimentan un escenario diferente con una infraestructura de TI relativamente más grande de redes en expansión y un gran número de dispositivos conectados.

Es a esta escala donde la monitorización central y la automatización se vuelven cruciales. Básicamente, las empresas necesitan identificar las brechas en la visibilidad, crear y optimizar un flujo de trabajo de administración de certificados que se alinee con sus requisitos y disponibilidad de recursos. El inventario de certificados, las comprobaciones de validez, la notificación a los propietarios de los certificados para la renovación e implementación oportunas y el análisis periódico de vulnerabilidades sirven como componentes básicos para una mejor gestión de los activos digitales críticos para garantizar un servicio ininterrumpido a los clientes.

* ManageEngine es la división de gestión de TI empresarial de Zoho Corporation. Tiene oficinas en todo el mundo, incluidos Estados Unidos, Países Bajos, India, Emiratos Árabes Unidos, México, Singapur, Japón, China y Australia, así como más de 200 socios globales para ayudar a las organizaciones a alinear estrechamente sus negocios y TI.


 Imagen principal: Tumisu (Pixabay).

¿Qué te ha parecido este artículo?

Colaboradores

Periodistas, líderes de Gobierno y sector público, líderes empresariales, emprendedores, académicos, estudiantes y ciudadanos interesados en las TIC. ¡En Impacto TIC son bienvenidos los aportes de quienes crean, desarrollan o piensan en Tecnología, Innovación y Ciencia, para Colombia y Latinoamérica!

email Sígueme en

Artículos relacionados

Artículo 1 de 2