Plazos de la industria para la revocación de certificados
El tiempo es crucial cuando se requiere la revocación de un certificado TLS . Las normas del sector definen exactamente cuánto tiempo tienen las autoridades certificadoras para responder, pero a veces el plazo es de tan solo 24 horas.
Los plazos breves requieren una respuesta rápida. En esta guía, describiremos los desencadenantes y los plazos de revocación, además de las razones por las que la automatización es imprescindible para mantener el cumplimiento normativo y la confianza.
Revocación de TLS: desencadenantes y plazos
Ocasionalmente, ocurren eventos que requieren que las autoridades de certificación (CA) revoquen y reemplacen certificados TLS. Un desencadenante ocurre cuando un certificado en el que ya no se puede confiar para proporcionar conexiones seguras debe revocarse para proteger a los usuarios; un ejemplo sería una vulnerabilidad generalizada en la industria como Heartbleed . Los problemas de cumplimiento normativo son otro posible desencadenante de la revocación, ya sea con el certificado TLS o con la propia autoridad de certificación.
Ante una revocación, la CA debe seguir las normas del sector descritas en la sección 4.9.1.1 de los Requisitos Base de TLS: Motivos para la Revocación de un Certificado de Suscriptor . Los Requisitos Base definen las circunstancias y los plazos de revocación: en algunos casos, la revocación de los certificados debe realizarse en un plazo de 24 horas, mientras que en otros se permite hasta cinco días. Las CA están obligadas a cumplir estos plazos, independientemente de si se trata de una revocación masiva o de un solo certificado.
Como resultado de estos requisitos de la industria para la revocación y el reemplazo, los certificados de servidor TLS de confianza pública no deben usarse en sistemas que no puedan tolerar una revocación oportuna.
Causas de revocación de 24 horas
Los requisitos básicos de TLS especifican que se requiere una revocación de 24 horas cuando:
- El propietario del sitio lo solicita;
- El certificado fue emitido sin la debida autorización;
- La clave de seguridad secreta es robada, comprometida o fácilmente descifrada; o
- La CA ya no puede confirmar el control del dominio del propietario.
Causas de revocación de 5 días
Los requisitos básicos de TLS también especifican un conjunto separado de motivos para determinar cuándo debe realizarse una revocación dentro de los cinco días, incluidos una variedad de problemas de cumplimiento con el certificado o la propia CA.
Los ejemplos incluyen:
- Uso indebido o fraudulento del certificado
- Información del certificado incorrecta
- Emisión incorrecta de certificado
- Fallas en las claves de seguridad que las hacen débiles o vulnerables
Planificación de CA para eventos de revocación
Los cambios recientes en la Política de la tienda raíz de Mozilla requieren que las CA se comuniquen con mayor frecuencia con los suscriptores acerca de los plazos de revocación, así como también de las obligaciones de las CA para cumplirlos.
Las políticas actualizadas de Mozilla también exigen que las CA formalicen su planificación de incidentes para la revocación de certificados, en particular para planificar y probar con antelación sus procedimientos para eventos de revocación masiva, incorporando los hallazgos en la mejora continua de las capacidades de revocación y reemplazo de certificados de las CA. Estos planes de revocación masiva deben someterse a una auditoría externa anual.
Las CA también deben informar públicamente sobre los incidentes de seguridad en Bugzilla, siguiendo las pautas establecidas por la Base de datos de CA común (CCADB) , que respalda la coordinación entre los diversos programas de almacenamiento raíz.
Estas directrices exigen que las CA informen un cronograma detallado de la investigación y la gestión de los certificados problemáticos, incluyendo un inventario completo de los certificados afectados y su ciclo de revocación. Los informes están sujetos al escrutinio de la comunidad para garantizar su cumplimiento.
La importancia de la automatización TLS
Las organizaciones pueden tomar medidas proactivas para responder eficazmente si se produce un evento de este tipo. Si bien esta preparación no puede eliminar todas las interrupciones derivadas de una revocación, facilita el cumplimiento de los plazos requeridos.
Ser proactivo también tiene un efecto positivo a largo plazo, ya que facilita la gestión diaria del ciclo de vida de los certificados TLS y le ayuda a prepararse para los próximos cambios del sector. Por ejemplo, según los Requisitos Base de TLS, el periodo máximo de validez de los certificados TLS se reducirá próximamente: primero de 398 días a 200 días, luego a 100 días y, finalmente, a tan solo 47 días . Estos cambios requerirán que las organizaciones desarrollen la agilidad necesaria para reemplazar los certificados con mayor frecuencia y rapidez.
Las claves para proteger su organización contra eventos de revocación son:
Garantizar que sus sistemas puedan procesar la revocación y los reemplazos de certificados rápidamente y sin interrupciones.
Revise periódicamente su inventario de certificados para saber cuántos certificados tiene y dónde los está utilizando.
- Implementar procesos automatizados del ciclo de vida de los certificados para permitir una respuesta y preparación rápidas.