Con la propuesta de acortar la vida útil de los certificados SSL / TLS y la perspectiva de recortes de gastos en los sectores de la tecnología y la ciberseguridad, los equipos de TI se ven sometidos a una presión cada vez mayor para garantizar la seguridad en las empresas. Los equipos de TI están recurriendo a soluciones de automatización para satisfacer estas crecientes demandas dentro de la ciberseguridad empresarial, siendo el protocolo ACME una de estas soluciones.
El protocolo ACME (Automatic Certificate Management Environment) es una herramienta utilizada para la automatización de certificados, que ahorra tiempo y recursos a los departamentos, además de eliminar el riesgo de errores humanos y colmar lagunas en la seguridad de las empresas. Sin él, los certificados pueden extraviarse o pasarse por alto, lo que provoca su caducidad; ACME puede ayudar a aliviar esta tensión en los equipos de TI.
Analicemos en profundidad el protocolo ACME, en qué consiste y cómo lo utilizan las empresas para gestionar la seguridad.
¿Qué es el protocolo ACME (Automatic Certificate Management Environment)?
ACME es un protocolo que facilita la comunicación entre las autoridades certificadoras (CA) y un cliente ACME que se ejecuta en el servidor de un usuario para automatizar la emisión, revocación y renovación de certificados.
Los usuarios implementan un agente autorizado, como Certbot, para interactuar con la CA y gestionar sus solicitudes de firma de certificados (CSR), de modo que la emisión y renovación de certificados se gestiona en segundo plano, sin intervención humana, dejando que los equipos de TI se centren en otras áreas de la seguridad.
ACME se creó como una forma de gestionar la reducción de la vida útil de los certificados SSL/TLS, proporcionando certificados de 90 días de forma gratuita. Desde entonces, las autoridades certificadoras (CA) han adoptado el protocolo ACME para gestionar un inventario de certificados más completo.
¿Cómo funciona ACME?
Los usuarios implementan un agente de gestión de certificados, o cliente, para interactuar con una plataforma CA (servidor). Para ello, el agente genera un par de claves que es validado por la CA. Una vez validado el par de claves, el agente tiene autoridad para gestionar los CSR, enviándolos a plataformas de gestión de certificados de CA, como Atlas. El certificado se devuelve al agente, que lo instala y notifica al usuario.
Características principales de ACME
El empleo de ACME como parte de la seguridad ofrece un enfoque mucho más funcional de la ciberseguridad que los métodos tradicionales, como la organización del inventario de certificados en una serie de hojas de cálculo y la creación manual de CSR.
- Escalabilidad: ACME permite al usuario gestionar certificados en bloque, lo que significa que se pueden emitir, renovar y revocar simultáneamente grandes cantidades de múltiples tipos de certificados.
- Acuerdos de nivel de servicio (SLA): A diferencia de los servicios ACME gratuitos y de crowdsourcing, los proveedores como GlobalSign ofrecen asistencia en cada fase de la implementacion y más allá, para que pueda garantizar una seguridad automatizada de alto nivel.
- Gestión de claves privadas: ACME permite a las empresas gestionar su propia seguridad de claves en lugar de contratar a un tercero para que lo haga por ellas.
El simple hecho de mantener el inventario de certificados en una hoja de cálculo expone a los servidores y dominios a vulnerabilidades que pueden ser aprovechadas por agentes malintencionados, al extraviar certificados o no renovarlos antes de su fecha de caducidad por mantenerlos en un odioso sistema manual.
El uso de ACME ofrece muchas funciones que pueden reducir la presión y el peso de la gestión de certificados para los equipos de TI de las empresas.
¿Cuáles son las ventajas de implementar ACME?
Mayor seguridad: La implementación de ACME elimina el riesgo que supone el error humano. Con ACME, tus certificados se almacenan en un inventario centralizado y no pueden extraviarse ni pasarse por alto, a diferencia de lo que ocurre cuando se almacenan en una hoja de cálculo. Esto reduce enormemente el riesgo de que se pierdan certificados caducados, así como el tiempo de inactividad potencial y las infracciones que podrían derivarse de ello.
Rapidez y automatización: Implementar ACME no lleva mucho tiempo; y una vez configurado, la emisión, renovación y revocación de certificados se produce automáticamente en cuestión de segundos, sin necesidad de intervenir manualmente en ningún momento, lo que permite a los equipos de TI centrarse en otras necesidades de seguridad.
Enfoque simplificado de la gestión de certificados: ACME simplifica enormemente lo que suele ser un área de complejos procesos manuales para los equipos de TI, de modo que apenas tienen que gestionar los CSR, y lo que es más, el proceso de implementación también es bastante sencillo.
Enfoque simplificado de la gestión de certificados: ACME simplifica enormemente lo que suele ser un área de complejos procesos manuales para los equipos de TI, de modo que apenas tienen que gestionar los CSR, y lo que es más, el proceso de implementación también es bastante sencillo.
Agilidad de CA: ACME ofrece agilidad entre autoridades certificadoras (CA), lo que significa que si necesitas utilizar más de una CA para tus necesidades de certificados, puedes cambiar de una a otra sin quedar bloqueado en una CA y con una provisión de certificados limitada, lo que te ofrece una postura de seguridad más amplia. En este caso, lo mejor es añadir una CA como servicio principal de confianza, como GlobalSign, para comunicarse con otras CA cuando sea necesario.
Casos de uso de ACME
Certificados de validación de dominio (DV): En un nivel básico, ACME puede crear CSR para certificados DV. Se trata de la verificación mínima necesaria para demostrar la propiedad de un dominio o servidor y no requiere verificación.
Certificados de validación de organización (OV): Los certificados con validación de organización se validan con un nivel de verificación más exhaustivo que un certificado DV básico y proporcionan una autenticación más completa para empresas y organizaciones. GlobalSign ofrece compatibilidad con los certificados OV de ACME.
DevSecOps: Los procesos de seguridad intensivos son esenciales en cada etapa del proceso DevOps y, como tales, los ingenieros deben estar al tanto de todos sus certificados sin margen de error. La rapidez con la que ACME es capaz de gestionar los certificados significa que los ingenieros no tienen que dedicar tiempo a preocuparse por los riesgos de seguridad y centrarse en otras tareas.
Cómo implementar el protocolo ACME
1. Seleccionar e instalar un agente
En primer lugar, el usuario debe seleccionar un agente. Hay muchos entre los que elegir que admiten muchos entornos y sistemas operativos diferentes, algo a tener en cuenta a la hora de elegir el agente. También es importante tener en cuenta los tipos de certificados que deseas gestionar: muchos agentes ACME admiten la emisión y renovación de certificados validados por dominio (DV) y validados por organización (OV) sin intervención manual.
El usuario tendrá que configurar una cuenta de gestión de certificados, como Atlas, para que el agente pueda comunicarse con la CA, por lo que es importante seleccionar un agente que lo admita.
Es esencial ser consciente de los tipos de certificados que se desean gestionar y de su valor para garantizar que se satisfacen todas las necesidades de seguridad. Una vez elegido, el agente ACME está listo para instalarse en el servidor en el que se van a desplegar los certificados.
2. Seleccionar una autoridad certificadora (CA)
Durante la instalación, el agente crea una lista de CAs soportadas para que el cliente pueda elegir. Al seleccionar la CA, es importante asegurarse de que ésta admite los tipos de certificados requeridos por el servidor o dominio. También debe ser la misma CA que el usuario ya ha designado para su cuenta de gestión de certificados.
Una vez seleccionado, el agente generará un par de claves compuesto por una clave pública y otra privada y se pondrá en contacto con la CA. La clave privada será utilizada posteriormente por el agente para verificar su autoridad para gestionar solicitudes de firma de certificado (CSR).
3. Verificación
A continuación, la CA seleccionada verificará la autoridad del agente sobre el dominio o dominios del cliente mediante la emisión de desafíos. El último de estos desafíos será un nonce generado por la CA. Un nonce es un número generado aleatoriamente que la CA envía al agente y que éste firmará con su clave privada, completando así el proceso de verificación.
Además, los enlaces de cuenta externa (EAB) son necesarios para vincular tu cuenta ACME con una cuenta externa, en este caso un servidor de CA. Los EAB añaden un nivel adicional de seguridad al automatizar los procesos de gestión de certificados para máquinas y servicios, ya que impiden que cualquier cliente de ACME no vinculado aprovisione certificados de la CA seleccionada. Al configurar el servidor ACME para que requiera EAB, sólo los clientes ACME seleccionados con credenciales EAB válidas podrán vincularse al servidor ACME (Atlas en este caso) y obtener certificados.
4. Gestiona tus solicitudes de firma de certificados
A partir de ahora, el agente ACME podrá enviar CSR para la emisión, renovación y revocación de certificados en cuestión de segundos, sin intervención humana. El servidor generará la CSR con el agente, ya sea para la emisión o renovación de un certificado en nombre del dominio validado utilizando el par de claves.
A continuación, el CSR se envía a la CA, que verificará las firmas de las claves y emitirá el certificado devolviéndolo al agente.
En caso de revocación, la solicitud se firmará de nuevo con el par de claves, como en el caso de la emisión o la renovación, y se enviará a la CA, que la validará. La CA publicará la información de revocación a través de una Lista de Certificados Revocados (CRL) para que el certificado revocado no pueda ser aceptado por el navegador.
Por qué los equipos de TI y las empresas deben implementar ACME
La automatización se está convirtiendo cada vez más en una necesidad para las empresas con los problemas actuales a los que se enfrentan los profesionales de la ciberseguridad, incluida la reducción de la vida útil de los certificados y de los presupuestos de los equipos de TI. Existen varias soluciones de automatización, con diversas funciones en la ciberseguridad y la gestión del ciclo de vida de los certificados (CLM).
ACME es un protocolo creado para aliviar muchas de estas presiones a las que se enfrentan los profesionales de la ciberseguridad mediante la automatización y organización de los procesos de gestión de certificados. La implementación de un agente que se comunique con una CA a través de una plataforma de gestión de certificados elimina gran parte de la presión a la que se ven sometidos los equipos de TI para supervisar constantemente los cientos de certificados que se utilizan en la seguridad de las organizaciones.
Además de eliminar estas presiones, ACME también tiene un costo mínimo y supone un importante ahorro de recursos y pérdidas por fallos de seguridad. ACME es rápido, escalable y exige menos tiempo y recursos, al tiempo que refuerza la seguridad empresarial.
