Concluye la validez prolongada para los certificados TLS

El 31 de agosto fue el 煤ltimo d铆a en que las empresas pod铆an comprar certificados TLS con m谩s de 398 d铆as de duraci贸n.

Hasta el 煤ltimo d铆a de agosto fue posible comprar certificados con m谩ximo de  825 d铆as de validez. Los certificados ya extendidos podr谩n ser utilizados hasta su vencimiento.

 Aunque  anteriormente se  discutieron propuestas sobre una reducci贸n en  el periodo de validez de tales certificados,  fue una decisi贸n unilateral de Apple adoptada en febrero de este a帽o que decidi贸 el tema. En la oportunidad,  Apple anunci贸 que a partir del 1掳 de septiembre de 2020 su navegador Safari ya no ofrecer铆a soporte para certificados con una validez que  excediera los 398 d铆as.

 La medida de Apple fue posteriormente secundada por Google y Mozilla.  Aunque los emisores de tales certificados anteriormente  se hab铆an opuesto a propuestas similares,  finalmente todos terminaron aline谩ndose con la posici贸n de Apple y Google, por lo que no ofrecer谩n certificados TLS  con una validez superior a los 398 d铆as.

 Hace algunos a帽os incluso era posible comprar certificados SSL y TLS  de hasta 10 a帽os de duraci贸n. Desde entonces,  la validez  de los nuevos certificados ha sido reducida considerablemente, en varias oportunidades. 

 La principal motivaci贸n argumentada por las empresas impulsoras de la iniciativa ha sido la seguridad.  En primer lugar,  durante el periodo de validez de los certificados es posible detectar vulnerabilidades que hacen que las tecnolog铆as de cifrado con las que  estos han sido firmados dejen de ser seguras.  Se considera entonces importante que estas tecnolog铆as sean desfasadas con la mayor rapidez  y, en tal sentido, un per铆odo de validez inferior de los certificados contribuye a tal efecto.

 Otro factor mencionado es que la  prolongada duraci贸n de las llaves de cifrado incrementan el riesgo de brechas de seguridad,  dando a un potencial  atacante la posibilidad de interceptar las comunicaciones o de instalar instancias de phishing.  El beneficio de  renovar el certificado es evidente, ya que al hacerlo tambi茅n se cambian las llaves de cifrado.

Un tercer factor es que el certificado TLS  conserva su validez despu茅s que un dominio ha sido transferido a un nuevo due帽o.  Esto implica que el propietario anterior del dominio contin煤a teniendo acceso a un certificado v谩lido, que puede utilizar a  voluntad para interceptar o manipular la conexi贸n TLS.  En conclusi贸n, al reducirse la validez de los certificados tambi茅n se reduce el periodo en que estos pueden ser utilizados por actores malignos.

Los sitios web que hasta ahora聽 hayan utilizado certificados con 2 a帽os de duraci贸n deber谩n renovar los mismos con mayor frecuencia a futuro.聽 Para el caso de las empresas propietarias de numerosos dominios,聽 la situaci贸n indudablemente ocasionar谩 un mayor trabajo administrativo.聽 En este contexto, cabe se帽alar que hay soluciones que automatizan la renovaci贸n de los certificados,聽 como por ejemplo Let’s Encrypt,聽 que ofrece certificados TLS聽 gratuitos que pueden ser renovados autom谩ticamente con herramientas que soporten el protocolo ACME.

En 2017, Let’s Encrypt enfrent贸 serias cr铆ticas por haber otorgado certificados SSL sitios de phishing (ver art铆culo relacionado).


Evento online 17/11 | Avanzando en la automatizaci贸n y an谩lisis de la red a trav茅s de IA y ML

Evento online 1/12 | Combatiendo las principales amenazas a la seguridad cibern茅tica que enfrentan los CISO

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.