En 2024, la automatización de certificados digitales (CLM) se vuelve crucial

En este blog, ofrecemos una visión general de los desarrollos en el mercado de PKI y las próximas iniciativas en KeyTalk.

Validez máxima de 90 días para certificados TLS/SSL

El 3 de marzo de 2023, Google anunció en su hoja de ruta “Moving Forward, Together” la intención de reducir el período de validez máximo de los certificados TLS públicos de 398 días a 90 días. Esta reducción a solo 90 días de validez máxima traerá cambios significativos en la industria. Aunque el momento específico es desconocido, es probable que este máximo de 90 días esté en vigor para finales de 2024.

¿Cuál es el impacto?

La mayoría de las organizaciones todavía manejan el reemplazo de certificados TLS/SSL manualmente, o se subcontrata a un gerente de TI externo o un Proveedor de Servicios Gestionados (MSP), que también lo realiza manualmente. Con la implementación de esta regla propuesta por Google, el reemplazo de estos certificados será necesario cuatro veces más a menudo que ahora, lo que puede resultar en costos adicionales significativos. Además, el riesgo de errores en este proceso de reemplazo se cuadruplicará, aumentando la probabilidad de poner en peligro la continuidad de la infraestructura crítica de TI, lo que podría llevar a costos mucho más altos.

Tiempo para la Automatización

Para mantenerse a la vanguardia en costos crecientes y el riesgo de costos adicionales debido a la discontinuidad de la infraestructura crítica de TI, la automatización del reemplazo de certificados TLS/SSL es esencial. Autoridades de certificación importantes como DigiCert, GlobalSign y Sectigo ya han advertido sobre esto y ofrecen, lógicamente, sus propios sistemas de gestión de certificados para este fin. Para evitar una dependencia innecesaria de tales entidades, es prudente considerar sistemas independientes de Gestión del Ciclo de Vida de Certificados (CLM), como el Sistema de Gestión de Certificados y Claves (CKMS) de KeyTalk.

Automatización al estilo Let’s Encrypt

Muchos servidores web están equipados con certificados Let’s Encrypt porque la automatización estándar se ofrece a través del protocolo ACME. La validez de estos certificados ya es de 90 días y puede soportar fácilmente períodos de validez aún más cortos. La emisión de certificados Let’s Encrypt no incluye validación de la empresa que solicita el certificado, ni verificaciones en una Cámara de Comercio, ni otras comprobaciones de legitimidad para la empresa o el dominio para el cual se solicita el certificado. Una solicitud de certificado en DigiCert, GlobalSign o Sectigo se procesa con los controles necesarios y, por lo tanto, no es gratuita. Sin embargo, con el CKMS de KeyTalk, la solicitud, instalación y reemplazo de todo tipo de certificados DV, OV y EV TLS/SSL de todas estas autoridades de certificación se automatizan, y no tiene que preocuparse por certificados válidos por un máximo de 90 días.

Soporte Extensivo para la Automatización

Con el CKMS de KeyTalk, la automatización ha sido posible durante años basada en el agente de KeyTalk, similar a un agente ACME (Certbot o WinAcme) pero que, por ejemplo, responde a la revocación de certificados y la eliminación accidental de certificados, lo que los agentes ACME no pueden hacer. Dado que KeyTalk también funciona como un servidor ACME desde el cuarto trimestre de 2023, todos los servidores, equipos de red como balanceadores de carga y firewalls, y aplicaciones que soportan la automatización basada en el protocolo ACME, también están respaldados con la automatización de certificados TLS/SSL, pero ahora para todos los tipos de certificados de DigiCert, GlobalSign y Sectigo (a partir del segundo trimestre de 2024).

Hoja de Ruta de Desarrollo de KeyTalk para 2024

A medida que comenzamos otro año emocionante, KeyTalk se complace en anunciar varios desarrollos nuevos que forman parte de nuestra hoja de ruta para 2024. Estas innovaciones están diseñadas para mejorar nuestros servicios y ofrecer a nuestros clientes las soluciones de seguridad más avanzadas. Aquí están algunos de los puntos destacados:

1. Nuevo Escáner de Red de Certificados Integrado: Introducimos una función completamente nueva integrada en el CKMS de KeyTalk para escanear e importar certificados de red de manera eficiente, siguiendo nuestra herramienta “Smart Security Scan”, asegurando que la seguridad de su red esté siempre actualizada.
2. Integración con Azure KeyVault: La integración perfecta de KeyTalk con Azure KeyVault está a punto de mejorar la seguridad basada en la nube, haciendo la gestión de certificados más robusta y eficiente.
3. Soporte Extendido para Balanceadores de Carga de Citrix NetScaler: Nuestro soporte se amplía para incluir Citrix NetScaler, ampliando nuestra compatibilidad y ofreciendo más opciones para soluciones de balanceo de carga.
4. Soporte Extendido para la Automatización de Certificados DV: Estamos mejorando nuestra automatización de certificados Validados por Dominio (DV) con validación DNS automatizada para DNS basados en Azure y AWS, haciendo que el proceso de validación sea completamente automatizado.
5. Roles Mejorados, Autorizaciones y Gestión de Flujos de Trabajo: Espere más flexibilidad y control con nuestras funciones mejoradas de roles, autorizaciones y gestión de flujos de trabajo, adaptadas a las diversas necesidades organizativas.
6. Soporte para ACME para Certificados de Cliente Usando Attestation de Clave ACME: En nuestro compromiso con la versatilidad y la tecnología avanzada, implementamos soporte ACME para certificados de cliente, utilizando attestación de clave ACME para mayor seguridad.
7. Soporte para los Protocolos EST y CMPv2: Al ofrecer soporte para los protocolos EST y CMPv2, nuestro CKMS de KeyTalk mejora sus capacidades en la automatización de la gestión de certificados.
8. Adición de Attestación de Clave HSM: Con la adición de la attestación de clave del Módulo de Seguridad de Hardware (HSM), fortalecemos aún más la seguridad y la integridad de las claves criptográficas.

En KeyTalk continuamos evolucionando constantemente para mantenernos al día con las últimas tendencias y tecnologías en ciberseguridad. Nuestro objetivo es ofrecer las soluciones más eficientes y seguras a nuestros clientes, y nuestra hoja de ruta para 2024 es un testimonio de este compromiso. ¡Manténganse atentos para más actualizaciones y avances en el próximo año! Para obtener más información sobre estas próximas funciones o cualquier pregunta sobre nuestros servicios, no dude en contactarnos. Estamos listos para guiarlo a través del avanzado paisaje de la ciberseguridad.

El equipo de KeyTalk