Los certificados de tres años dejarán de estar disponibles a partir del 28 de marzo de 2022.
En 2022 se producirá otra ronda de cambios en la validez máxima de los certificados de confianza pública. Si hace poco Internet vio cómo los certificados TLS se truncaban a sólo 398 días, ahora se aplica la misma lógica y los mismos cambios a los certificados de seguridad del correo electrónico.
Los certificados de seguridad del correo electrónico, quizá más conocidos como certificados S/MIME (Secure/Multipurpose Internet Mail Extension certificates), se utilizan para autenticar al remitente de un correo electrónico, y también pueden utilizarse para cifrar el contenido del mismo. Son una herramienta fundamental para combatir los ataques basados en correo electrónico, concretamente el spearphishing y los intentos de suplantación de identidad. Dado que más del 90% de los ciberataques se originan a través del correo electrónico y que el mundo entero sigue adaptándose a los sistemas de trabajo híbridos, se ha producido un renacimiento de los certificados S/MIME en los últimos dos años.
Sin embargo, como los certificados de seguridad del correo electrónico aprovechan la confianza de la web pública, están sujetos a la supervisión de los programas de certificados raíz de Internet.
about this upcoming change, we’ve summarized what you need to know below: En 2021, Apple, a través de su programa de certificados Root, anunció su intención de eliminar la validez de tres años para los certificados de seguridad del correo electrónico. La validez máxima se limita ahora a dos años a partir de principios de abril (1/4/2022). Para adaptarse a este cambio, GlobalSign dejará de emitir certificados de Secure Email (email seguro) y PersonalSign de tres años a partir del 28 de marzo de 2022.
Somos conscientes de que puede tener algunas preguntas, por lo que, en aras de mantener a nuestros clientes informados sobre este próximo cambio, hemos resumido lo que necesita saber a continuación:
No habrá ningún impacto para cualquier certificado de Secure Email o PersonalSign emitido antes del 1 de abril de 2022.
Todavía se pueden pedir certificados y packs de Secure Email y PersonalSign de uno y dos años, pero, de nuevo, después del 28 de marzo se eliminará la opción de los tres años.
Entonces, ¿qué pasa con la reemisión de un certificado de tres años tras la entrada en vigor del cambio?
Buena pregunta. A diferencia de una renovación, una reemisión suele mantener la misma fecha de fin de validez que el certificado original. Obviamente, esto supone un reto para un pequeño subconjunto de clientes. No se preocupe, seguirá conservando toda la duración del certificado que compró originalmente. En el caso de que un certificado de tres años comprado antes del 1 de abril de 2022 deba reemitirse después de esa fecha, la fecha de caducidad se reducirá a dos años, y cuando el certificado esté a menos de 825 días de la fecha de caducidad original, podrá reemitirse de nuevo para reclamar la validez restante.
Por último, la pregunta: ¿Por qué?
Y para responder a esta pregunta es importante ampliar el alcance y ver cómo funciona la confianza pública en la web. Los programas de certificados raíz funcionan efectivamente como guardianes de la confianza pública. Las Autoridades de Certificación como GlobalSign deben cumplir rigurosas normas y expectativas para mantener el estatus de confianza, y con ello la capacidad de emitir certificados de confianza pública como SSL/TLS y S/MIME. El objetivo principal de los programas raíz es la seguridad de los usuarios habituales de Internet.
Por ello, a través del Foro de CA/Browser y, en ocasiones, de forma unilateral, los programas raíz (gestionados por los principales navegadores web) promueven cambios en los certificados de confianza pública con el fin de mejorar la seguridad de la web. Actualmente, el consenso en torno a la validez dice que cuanto más tiempo se utilice la información de validación, menos fiable será. Hasta ahora hemos visto la mayoría de los esfuerzos para reducir los periodos máximos de validez en el lado de los SSL/TLS. Esta es la primera reducción para los certificados S/MIME. Pero la lógica detrás de las reducciones sigue siendo la misma.
Concretamente, en el mundo del correo electrónico empresarial, los empleados van y vienen; la rotación se produce regularmente en todos los niveles. Y existe el riesgo de tener certificados S/MIME de larga duración que a veces pueden sobrevivir a los empleados, o incluso a las empresas, para las que fueron emitidos. Al reducir la duración de los certificados, también disminuye parte del riesgo. Es cierto que no elimina por completo ese riesgo, pero es un buen paso en la dirección correcta.
Y mientras que una vez hubo una carga legítima asociada con el aprovisionamiento de certificados S/MIME para toda una organización -algo que habría hecho que estos cambios parecieran insondables antes- esos obstáculos históricos se han superado en los últimos años con soluciones como AEG de GlobalSign, que automatiza todo el tedio y hace que la implementación sea un juego de niños.
Si tiene alguna pregunta sobre cómo pueden afectar estos cambios a su organización, no dude en ponerse en contacto con nuestro equipo de asistencia y estaremos encantados de hablar de ello con usted.
