Revista sobre los certificados SSL/TLS y las autoridades certificadoras

Revista con recomendaciones, sugerencias e información de interés sobre los certificados SSL/TLS y la seguridad de los certificados SSL/TLS y guías para trabajar con los certificados SSL/TLS.

Apple va a confiar solamente en los certificados para un año

La reducción de validez de los certificados TLS ya antes avisada y hasta ahora no realizada se está haciendo realidad poco a poco. El primero en decidirse a dar el paso ha sido Apple. Dentro de sus productos no confiará, a partir del 1-9-2020, en certificados emitidos nuevos con una validez superior a un año. Este artículo le informa acerca de la importancia que tiene esta decisión para el ámbito entero.

Qué pasa y por qué

La reducción de la validez máxima de los certificados TLS va reapareciendo y en el campo del foro CAB, que controla el sector entero, se votó la propuesta, que había lanzado Google, la última vez como el Ballot SC22 en agosto de 2019. En aquel entonces no fue aprobada y el mayor argumento de los partidarios de una validez más larga era lo difícil que suponía un cambio más frecuente de los certificados. Las autoridades certificadoras publicaron opiniones negativas que habían expresado sus clientes en las respuestas en sus cuestionarios sobre el impacto real del cambio en su ambiente. 

En el siguiente encuentro en febrero en Bratislava, Apple comunicó que no respetaría el acuerdo y que estaría en contra de él. Así pues, hasta el 1 de septiembre de 2020 puede renovar el certificado TLS para dos años y el mismo seguirá siendo válido en los productos Apple. Después de esta fecha, Apple confiará solamente en los certificados TLS con la validez máxima de 398 días (1 año y una reserva para la renovación).  

El mayor argumento para reducir la validez de los certificados TLS es una preocupación por la seguridad de los usuarios y un esfuerzo por aumentarla; el portavoz de Apple dijo que lo hacían por la “protección del usuario”. Este argumento lo mencionan todos los productores de los navegadores que son partidarios de la mínima validez posible de los certificados TLS. 

Sin embargo, en la práctica, una comunicación supuestamente más segura, exigida por una validez más corta de los certificados, sigue siendo una suposición ambigua. Para que este cambio tenga un impacto positivo es necesario suponer que todos los certificados se emitirían, a la hora de renovación, transcurrido un año, con una nueva solicitud y en el servidor se cambiará la clave privada. En los ecosistemas PKI plenamente automatizados esto no supone ningún problema y se realiza ya en la actualidad. La situación es peor en los servidores administrados manualmente y sistemas donde con este paso, los administradores seguramente no estarán más dispuestos a cambiar las claves; quizás incluso pueda hacerlos ser más molestos y apáticos. A un propietario normal de la web más bien le aumentará los gastos de administración y a su administrador le multiplicará el trabajo. 

¿Y ahora qué?

Dada la historia de la “reducción de los certificados”, es de suponer que tarde o temprano, la validez de los certificados TLS se reducirá a un año. Los productores de los navegadores seguirán esforzándose por ello y los propietarios de las webs optarán en la mayoría de los casos por una seguridad en forma de un certificado “sin riesgo” para un año.

Si tiene en cuenta a los usuarios de los dispositivos Apple y cuida estrictamente la credibilidad de los certificados en sus dispositivos (Mac, iPad, iPhone) seguirá renovando los certificados solamente para un año. Será posible renovarlos tan solo 33 días antes de su expiración, o excederán el límite mencionado. 

Si no se preocupa por los usuarios de Apple y sus dispositivos puede utilizar los certificados para dos años incluso después del 1 de septiembre de 2020. En el entorno checo, los usuarios de Apple siguen siendo una notable minoría entre los visitantes de la web y además podemos suponer que solamente una parte de ellos dispondrá de un dispositivo actualizado para la versión más actual de un SW con esta nueva restricción. Sin embargo, lo complicado será comprar un certificado para dos años; es de suponer que las autoridades certificadoras pasarán pronto a un ciclo de un año porque un ciclo para dos años podría causar confusión (por razones anteriormente mencionadas). 

Los titulares de los certificados TLS para una web tendrán que cambiar el certificado en el servidor cada año (ojalá no se realicen más reducciones). Es recomendable renovar el certificado para dos años antes del 1 de septiembre y aprovechar así por última vez esta posibilidad; esto no afecta la credibilidad del certificado. Los administradores que no utilizan los certificados TLS para la web (por ejemplo un servidor de correo) serán limitados inútilmente por este cambio. Sin embargo, lo ventajoso es que no necesitará llevar repitiendo la validación (véase más en el párrafo siguiente). 

La reducción de validez anteriormente mencionada desde luego no incluye los certificados de firma S/MIME y los certificados para firmar el código. 

¿Cómo el cambio afecta a los clientes?

La mayor novedad para los titulares del certificado será la necesidad de cambiarlo con más frecuencia. Ya no hay ningún problema con la propia renovación. En comparación con los años anteriores, conseguir los certificados se ha hecho notablemente más fácil y rápido. Mientras que antes era necesario validar para cada certificado, incluso si lo hubiera pedido al día siguiente desde la emisión de otro certificado idéntico, en la actualidad, la AC DigiCert utiliza una validación guardada para  empresas y dominios. Es suficiente mantenerla activa y un certificado OV o EV le será emitido de forma inmediata, sin demora innecesaria.  

Nosotros intentamos hacerles a nuestros clientes lo más fácil posible el proceso de conseguir los certificados y su administración. Puede utilizar autorenew, incluido un pago automático, y si dispone de una validación activa en la autoridad certificadora su certificado OV/EV será emitido automáticamente y de forma inmediata. Lo único que tiene que hacer es cambiarlo en el servidor. 

Si tiene un certificado con la validción de dominio, donde siempre es necesario validar el dominio (es decir DCV), realiza solamente esta única y sencilla validación y el certificado le llega en unos minutos por correo electrónico

A los administradores de servidores les recomendamos la automatización

El cambio afecta sobre todo a los administradores de servidores que instalan el certificado. A ellos los intentaremos ayudar. Si su certificado TLS forma parte de un servicio, como por ejemplo en el alojamiento web CZECHIA.com, ya puede olvidarse por completo de la instalación.

En colaboración con DigiCert le ofrecemos ya ahora una automatización completa del proceso de conseguir e instalar los certificados TLS. DigiCert soporta completamente el protocolo ACME, que le permite utilizar una serie de clientes para diferentes plataformas de servidor. Nosotros le ayudaremos luego solamente en validar su empresa y dominios, le prepararemos un acceso para el protocolo ACME en la AC ¡y usted puede empezar a utilizar una automatización completa del ecosistema PKI!

No dude en contactar con nuestra Atención al Cliente en cualquier momento. 

Fuentes y más información:
1.DigiCert Blog: Position on 1-Year Certificates
2.Apple support: About upcoming limits on trusted certificates