GlobalSign Blog

¿Qué hace que los certificados S/MIME sean confiables?

¿Qué hace que los certificados S/MIME sean confiables?

Los requisitos (en evolución) de S/MIME y el intento de crear un estándar

Como es conocido, las Autoridades Certificadoras (AC) de confianza pública deben cumplir estrictos requisitos para ser (y seguir siendo) de confianza pública. Además de las AC, hay muchas partes interesadas; todos quieren garantizar que las prácticas de emisión de certificados sean seguras y que la PKI pueda seguir desempeñando un papel fundamental en la seguridad de la red mundial. Uno de los organismos más importantes que regula los requisitos que deben cumplir las AC es el Foro CA/Browser (Foro CA/B) y sus grupos de trabajo especializados. Los grupos de trabajo del Foro CA/B han publicado los requisitos oficiales para los certificados SSL/TLS y de firma de código de confianza pública desde hace bastante tiempo. Es imperativo que las AC sigan estos requisitos, de lo contrario la confianza pública puede perderse fácilmente.

Y luego están los certificados S/MIME. Éstos han ido ganando cada vez más importancia comercial en los últimos años y muchas grandes empresas han empezado a utilizar certificados S/MIME. de confianza pública para firmar y cifrar su correo electrónico. Debido a la falta de normas y orientaciones del sector, las Autoridades Certificadoras y las aplicaciones de los clientes de correo electrónico han empezado a establecer sus propias normas para los perfiles y el contenido de los certificados, algunas de las cuales entran en conflicto entre sí. Para resolver este problema, se creó el grupo de trabajo S/MIME dentro del Foro CA/B. El grupo de trabajo pretende estandarizar los perfiles de certificados para que sean aceptados de manera más uniforme, lo que permitiría una mayor interoperabilidad.

Tiempos cambiantes

Una norma clave que se está debatiendo es el periodo de validez de los certificados S/MIME; de hecho, algunos clientes de correo electrónico ya exigen un periodo de validez más corto (véase la figura de Google más abajo). En los últimos años, la validez máxima permitida de los certificados SSL/TLS se ha reducido de 5 a 3 años y, recientemente, a sólo 13 meses, un cambio que se reconoce generalmente como muy beneficioso en términos de seguridad general.

google smime certificate details with 27 month validity.png
 Image source: https://support.google.com/a/answer/7300887#zippy=%2Cend-entity-certificate

Llegados a este punto, es importante aclarar que la reducción de los periodos de validez de los certificados es una práctica con la que, en GlobalSign, estamos totalmente de acuerdo. Hay un argumento general que puede hacerse a favor de los períodos de validez más cortos. Los periodos de validez más cortos de los certificados aumentan la "criptoagilidad". En pocas palabras, un intercambio más frecuente de material de claves significa una mitigación más frecuente de las debilidades criptográficas y un menor impacto de la puesta en peligro de las claves.

Sin embargo, a diferencia de lo que ocurre con SSL/TLS, la inscripción automática de certificados S/MIME no cuenta con el mismo nivel de apoyo que ACME para SSL/TLS, por poner un ejemplo. Además, un despliegue completo de certificados S/MIME en una empresa suele implicar la instalación y configuración en muchos más dispositivos que los certificados SSL/TLS. Por tanto, los administradores se benefician de periodos de validez más largos, ya que pueden reducir el esfuerzo de apoyar manualmente la renovación de los certificados: ese es un argumento a favor de un periodo de validez "más largo".

¿Cómo afectaría esta evolución de las normas a los clientes? ¿Y hacia dónde vamos?

GlobalSign está representada en el mencionado grupo de trabajo del Foro CA/B para S/MIME e intenta activamente dar forma a un estándar para los certificados S/MIME con el que todos estén de acuerdo. Al mismo tiempo, GlobalSign está innovando continuamente cuando se trata de apoyar la gestión del ciclo de vida de los certificados en la empresa. El Auto Enrollment Gateway (Portal de Auto Registro Corporativo) de GlobalSign elimina gran parte del esfuerzo "manual" en la renovación de certificados S/MIME y, por tanto, apoya perfectamente nuestra visión de periodos de validez más cortos para los certificados S/MIME y de otros tipos.

Por el momento: Considere la posibilidad de adquirir certificados S/MIME con una validez máxima de 27 meses si lo que más le importa es la confianza de TODOS los clientes de correo electrónico. Si todavía no está preparado para automatizar la gestión del ciclo de vida de sus certificados y quiere reducir al máximo los gastos manuales de renovación, no tiene por qué preocuparse. En el futuro inmediato, seguiremos ofreciendo certificados S/MIME con una validez de 3 años. Independientemente de los cambios que surjan en los próximos años (y surgirán), tenga la seguridad de que en GlobalSign estaremos encantados de ayudarle a preparar su negocio para el futuro con soluciones criptográficas en las que pueda confiar.

AEG use case CTA.jpg

Share this Post

Recent Blogs