Vivimos en un mundo digitalmente transformado, en el que innumerables transacciones comerciales y personales con información sensible se realizan a través de Internet. A medida que nuestras tecnologías digitales han avanzado, también lo han hecho la frecuencia y la variedad de la ciberdelincuencia. Con la proliferación del Internet de las Cosas (IoT) y el aumento de puntos finales remotos, garantizar la seguridad de los sitios web se ha convertido en un imperativo absoluto.
Además, los recientes anuncios de Google han supuesto un cambio en la forma de presentar la seguridad a los usuarios, pero también (y posiblemente el punto más doloroso para los equipos de TI) es que se va a reducir el periodo de validez de los certificados SSL/TLS.
En este blog, explicaremos por qué los certificados SSL/TLS son importantes y cómo una herramienta de inventario de certificados, como Atlas Discovery, puede ayudarte a visualizar qué certificados tienes en tu organización.
Los certificados SSL/TLS garantizan la seguridad de los sitios web
La mayoría de los sitios web y los principales navegadores requieren ahora certificados digitales SSL/TLS. Los certificados Transport Layer Security (TLS) son la forma más avanzada de los certificados Secure Sockets Layer (SSL), pero los términos se utilizan solos o juntos. Estos certificados cifran los datos privados que se transmiten para aumentar la seguridad y la privacidad de los usuarios. El concepto de "confianza digital" es la tríada de cifrado, seguridad e identidad que se aplica a todas las interacciones y unifica las medidas de seguridad SSL/TLS, PKI e IoT.
Los certificados SSL/TLS verifican la propiedad del sitio web y establecen la confianza del usuario autenticando el servidor y el dominio. Impiden eficazmente a los piratas informáticos las graves repercusiones de los ataques de suplantación de dominios. La falta de seguridad de los certificados SSL/TLS en un sitio web puede ser una negligencia costosa. Los principales navegadores suelen mostrar un aviso de "No seguro" en la barra de direcciones, lo que sin duda provocará que los clientes abandonen una transacción, así como cualquier interacción futura con esa empresa.
Los certificados validan la identidad del sitio web para los usuarios, ganándose así su confianza. Los certificados SSL/TLS son también uno de los requisitos de cumplimiento del PCI/DSS (estándar de seguridad de datos del sector de tarjetas de pago). Todas las empresas que almacenan, procesan o transmiten datos confidenciales y privados de tarjetas de pago deben cumplir la normativa PCI.
Los peligros de una mala gestión de los certificados
Aunque los certificados ofrecen seguridad, integridad y autenticidad esenciales y sólidas, su prevalencia ha creado un inconveniente. Su uso omnipresente se ha convertido en un importante rompecabezas para la gestión, debido al laborioso seguimiento manual y a los errores derivados de la falta de conocimiento y visibilidad del inventario.
Los certificados tienen una fecha de caducidad, normalmente de 1 a 3 años (aunque se espera que esto cambie). Cuando una empresa pierde de vista el número, el origen y la caducidad de su inventario de certificados, las consecuencias pueden ser devastadoras. Supervisar la validez y las fechas de caducidad de todos los certificados es de vital importancia para evitar interrupciones y caídas de sitios web que pueden provocar la pérdida de ingresos y de confianza de los usuarios.
Según el informe 2022 State of Machine Identity Management Report realizado por KeyFactor y Ponemon Institute, el 81% de las organizaciones han experimentado al menos dos o más interrupciones causadas por certificados caducados en los últimos dos años. Los certificados SSL/TLS caducados activan advertencias en los navegadores que pueden disminuir el tráfico a un sitio web, causar daños a la reputación y el escrutinio normativo. Los usuarios que reciban un mensaje de advertencia alarmante que detalle una amenaza para la privacidad tendrán la opción de pulsar el botón "Volver a la seguridad". La mayor parte de los usuarios pulsarán ese botón y, en lo sucesivo, evitarán ese sitio. Es fácil ver cómo un solo certificado caducado puede causar estragos.
Además de los problemas de caducidad, la gestión de certificados debe estar alerta para discernir la presencia de certificados sombra. Se trata de certificados digitales que pueden introducir los empleados, que están sin vigilancia, expuestos e invisibles para los equipos de TI y de seguridad. La gestión del inventario de certificados requiere una supervisión exhaustiva y continua para tener pleno conocimiento del alcance total de los certificados en uso, sus fechas de caducidad y los procesos para renovarlos o añadirlos. En el informe Machine Identity Report, el 57% de los encuestados citaron la visibilidad completa de todos los certificados como una de las principales prioridades.
La herramienta de inventario de certificados Atlas Discovery encuentra todos los certificados
La gestión de certificados es difícil y laboriosa. Implica realizar un seguimiento de la autoridad certificadora (CA) de cada certificado, dónde se instaló, ubicación, fecha de caducidad, criptosistema utilizado, longitud de la clave y algoritmo.
Atlas Discovery, parte de la plataforma PKI en la nube de nueva generación de GlobalSign, muestra todos los certificados SSL/TLS de la red, tanto internos como públicos, independientemente de la CA emisora. Una vez configurado Discovery, Atlas explora los puntos finales elegidos en busca de certificados para garantizar que están protegidos. Los certificados que están a punto de caducar se muestran en el panel de control de Atlas Discovery para que puedas realizar un seguimiento y preparar tu renovación.
Atlas Discovery Certificate Inventory ofrece ventajas esenciales y completas:
- Busca y supervisa todos los certificados SSL/TLS internos y públicos, independientemente de la CA emisora, incluidos los autofirmados, desde una ubicación central.
- Rastrea fácilmente el origen y la CA emisora de todos los certificados.
- Localiza cualquier certificado sombra adquirido fuera del proceso de adquisición estándar.
- Se mantiene al día de los requisitos básicos y las mejores prácticas al visualizar los certificados en función de la longitud de la clave, el algoritmo y el periodo de validez.
- Ahorra tiempo y recursos valiosos al eliminar la necesidad de supervisión manual.
Haz clic aquí para obtener más información sobre cómo Atlas Discovery hace que el seguimiento del inventario de certificados sea sencillo, directo y preciso.