Errores comunes a la hora de gestionar certificados SSL

Ignorar o no gestionar adecuadamente los certificados SSL puede ser el inicio de que nuestra aplicación web sea atacada. La gestión de certificados SSL puede ser complicada, más si administramos varias aplicaciones.  En nuestro artículo de hoy comentamos los errores más comunes en los que podemos incurrir a la hora de implementar y administrar certificados SSL.

Las tareas más comunes en la gestión de certificados SSL son: adquisición (compra), configuración en la aplicación web y renovación cuando llega la fecha de expiración. Estas tareas implican tiempo, imaginemonos si tenemos varios certificados SSL que gestionar.

En la actualidad, las autoridades certificadoras tienen certificados con diferentes niveles de validación, tipo de firma, niveles de garantía, etc. Este hecho complica el saber que tipo de certificado es el requerido por una aplicación web en particular. Por lo tanto, nos deberemos asegurar que cada uno de los certificados que tenemos es el adecuado para nuestra aplicación web. Por ejemplo, ¿es necesario que tengamos un certificado con Extended Validation (Validación Extendida)? (este tipo de certificados son más caros ya que son aprobados por una autoridad de certificación certificando la existencia legal de que la empresa propietaria del certificado es legítima y existe). O por el contrario, ¿con un certificado más económico pero con menor grado de confianza es suficiente? Si tenemos una aplicación web que no es pública (por ejemplo una intranet) este tipo de certificados puede ser adecuado.

Según estudios, más de la mitad de las empresas que administran certificados SSL, tienen en su red certificados digitales cuyo origen desconocen o han perdido algún certificado. Esto puede ser debido a que un desarrollador o un empleado de la empresa creó un certificado sin decirselo a nadie. El problema es que este tipo de certificados a veces nunca son encontrados.

El modo habitual en que las empresas gestionan sus certificados SSL es mediante hojas de cálculo. Este tipo de gestión puede provocar errores como la pérdida o mal etiquetado de un determinado certificado. Por lo tanto, los certificados pueden expirar sin que nos demos cuenta. En ese momento, las autoridades de certificación consideran que nuestro certificado no es válido ni seguro. Si tenemos una tienda online que funciona bajo HTTPS, nuestras ventas se pueden ver afectadas ya que habitualmente los navegadores modernos bloquean aquellas webs con certificados no válidos o inseguros.

Otro problema que puede ocurrir es si la autoridad de certificación que emitió nuestro certificado se ve comprometida. Existen casos como los de DigiNotar y Comodo en 2011 o TurkTrust a principios de este año. En ese momento esos certificados son revocados por el resto de autoridades de certificación. Al igual que en el caso anterior, cuando un cliente se conecta a un servidor con un certificado afectado, éste deja de ser válido.

Existen soluciones software a nivel empresarial que permiten automatizar mucha de las principales tareas de gestión de certificados SSL. Estas herramientas permiten incluso descubrir certificados en nuestra red y gestionar su renovación. También recomendamos establecer procedimientos que detallen que debemos hacer si una autoridad de certificación es comprometida, como deben ser reemplazados, renovados, etc.

Comparte este artículo:

No hay comentarios a este artículo

Sé el primero en enviar un comentario: