07-15-2024

Entrust deja de ser de confianza: principales conclusiones para CA y empresas

Mike Nelson
Entrust Miss-issuance Blog Hero

Coautor: Jeremy Rowley

Es posible que el usuario de la web medio no sea consciente de la cantidad de trabajo que conlleva garantizar la seguridad del mundo digital. Pero los sitios web, los correos electrónicos, los servidores y el software no son fiables por defecto, sino que necesitan certificados digitales emitidos por autoridades de certificación (CA) para ser de confianza. Los encargados de determinar si esas CA son fiables son diferentes organismos de normalización como el Certification Authority/Browser (CA/B) Forum

Algunas veces, debido a un error humano o fallos en el código, los certificados emitidos no cumplen los requisitos normativos estrictos de los operadores de los almacenes de raíces. Cuando esto ocurre, se espera que la CA ofrezca total transparencia sobre lo sucedido, revoque los certificados y ayude a la comunidad a aprender de los errores. 

Sin embargo, como vimos en nuestro artículo Google anuncia que deja de confiar en los certificados de Entrust, las consecuencias de no reparar el daño a tiempo pueden ser catastróficas tanto para la CA como para sus clientes. 

¿Por qué Google ha dejado de confiar en Entrust?

En junio de 2024, el equipo de seguridad de Google Chrome anunció que dejaba de utilizar los certificados TLS emitidos por Entrust a partir del 31 octubre de 2024. Unos meses antes, Entrust reconoció la existencia de errores de emisión en más de 26 000 certificados TLS con EV.

El plazo de revocación de certificados con errores de emisión que establecen los requisitos básicos del CA/B Forum es muy corto (24 horas o cinco días, en función de la naturaleza del problema). La CA, normalmente, puede corregir el problema sin que este afecte demasiado a las empresas, pero Entrust no tomó ninguna medida para revocar o reemplazar los certificados afectados.  

Esta inacción puede tener consecuencias para las organizaciones como interrupciones del servicio, incertidumbre sobre el estado de la CA y una pérdida de confianza por parte de los clientes. Y, en el caso de las CA que como Entrust no revocan ni reemplazan los certificados que contienen errores de emisión, el efecto puede ser que los navegadores web les retiren su confianza, tal y como hizo Google en 2024.

Cómo pueden las empresas evitar las interrupciones en el negocio relacionadas con los errores en la emisión de certificados

Los fallos en el software son algo común, por lo que los errores en la emisión ocurren incluso en los ciclos de vida de desarrollo de software más sofisticados. Cuando esto sucede, el objetivo principal de la CA debe ser determinar dónde se ha producido el error y asegurarse de que nunca vuelva a pasar.

En 2023, DigiCert descubrió que 300 certificados emitidos para un fabricante de dispositivos global no cumplían con las rigurosas normas sobre perfiles que establecen los requisitos básicos del CA/B Forum. Según esos requisitos, debíamos revocar los certificados en cinco días, de lo contrario, estaríamos cometiendo una infracción y contraviniendo unos requisitos que, como CA y entidad de confianza pública, nos habíamos comprometido a cumplir.

Solo había un problema: tras hablar con el cliente, llegamos a la conclusión de que revocar los certificados en cinco días podría provocar una interrupción del servicio masiva y dejar inutilizados sistemas críticos de los que dependía la seguridad del consumidor. Analizamos la situación con el fabricante y finalmente estimamos que necesitaría un mes para reemplazar todos los certificados que contenían errores de emisión.

Incumplir las normas del CA/B no era una opción, como tampoco lo era revocar los certificados sin haber emitido antes otros que ocupasen su lugar. Por lo tanto, hablamos con la comunidad y trabajamos con nuestros clientes sin descanso para que los nuevos certificados estuvieran preparados y en pleno funcionamiento a tiempo. 

Aunque fue un proceso estresante para todas las partes implicadas, pararnos a analizar y ver qué es lo que había fallado sirvió para que nuestro cliente tomase medidas para evitar que los certificados con errores de emisión se convirtieran en un problema persistente.

Estas son dos recomendaciones que haríamos a cualquier empresa que dependa de certificados para garantizar la seguridad:

1. Utilice certificados de confianza privados cuando sea posible

El CA/B Forum solo establece normas para los certificados de confianza públicos, por lo que el plazo de revocación de cinco días no se aplica a los certificados de confianza privados. Para nuestro cliente fabricante de dispositivos, utilizar certificados de confianza públicos en dispositivos que no los necesitaban —en este caso, dispositivos conectados— se convirtió en una fuente de problemas innecesarios.

¿Nuestra recomendación? Examine el uso que da a sus certificados y cambie los certificados de confianza públicos por privados en los casos en los que baste con estos últimos. Así, se ahorrará el riesgo de sufrir revocaciones que interrumpan su actividad.  

Estos son algunos de los usos más habituales de los certificados de confianza privados:

  • Dispositivos conectados: los dispositivos IoT conectados utilizan certificados para autenticar de forma manual las conexiones a pasarelas, servidores, aplicaciones y otros dispositivos. Esta comunicación normalmente tiene lugar en redes privadas, por lo que la confianza pública no es necesaria.
  • Aplicaciones y sitios web internos: como la intranet de su empresa no es accesible al público, no es necesario que utilice confianza pública.
  • Comunicación entre empresas: las empresas asociadas pueden eliminar la necesidad de usar confianza pública configurando manualmente sus sistemas para que acepten los certificados privados de sus socios.
  • VPN: utilizar certificados privados para la autenticación del cliente y el servidor sirve para asegurarse de que solo se conectan a la VPN corporativa dispositivos de confianza.

También recomendamos ejecutar comprobaciones del cumplimiento normativo automatizadas en los certificados con pkilint, el linter para certificados de código abierto gratuito de DigiCert.

2. Implemente una solución de gestión de certificados completa

Muchas empresas todavía utilizan hojas de cálculo para hacer un seguimiento de sus certificados de forma manual. Si se cuenta con una solución de gestión del ciclo de vida de los certificados (CLM), cumplir con el plazo de cinco días del CA/B Forum no es un problema. Sin embargo, sin una solución de este tipo, reemplazar los certificados que contienen errores de emisión puede convertirse en un proceso manual tedioso que dure varias semanas.

Si su empresa todavía no utiliza una CLM completa, le recomendamos que implemente una solución como DigiCert Trust Lifecycle Manager, con la que obtendrá:

  • Detección de certificados PKI
  • Un repositorio completo de todos los certificados públicos y privados
  • Visibilidad y control operativo detallados
  • Notificaciones para evitar que los certificados caduquen
  • Corrección de vulnerabilidades

La importancia de elegir una CA que priorice la confianza digital

La confianza digital de la que tanto hablamos en DigiCert no es un concepto abstracto, sino algo objetivo y cuantificable. Los sitios web y los productos digitales de las empresas pueden estar protegidos por certificados de confianza o pueden no estarlo. Las CA pueden adherirse a las normas establecidas por grupos como el CA/B Forum o pueden no hacerlo.

Cuando una CA acepta formar parte de una comunidad de confianza, su fiabilidad se mide por la transparencia y voluntad que muestre para actuar conforme a las reglas. Un error de emisión por sí solo no implica que ya no se pueda confiar en la CA automáticamente. Lo que de verdad importa es el motivo detrás del problema, el aprendizaje que la CA puede extraer de él y la manera que esta tiene de gestionar este tipo de incidentes.

Las últimas novedades en confianza digital

¿Le gustaría informarse mejor sobre temas como la gestión del ciclo de vida de los certificados, la confianza digital o las soluciones de confianza digital de DigiCert? Suscríbase al blog de DigiCert para no perderse ningún artículo.

Subscribe to the blog