– Por Debbie Hayes, Vicepresidenta interina de Marketing en GlobalSign
Las Autoridades Certificadoras (CA) de confianza pública deben cumplir estrictos requisitos para ser de confianza pública. Además de las propias CA, hay muchas partes interesadas; todas quieren garantizar que las prácticas de emisión de certificados sean seguras y que la PKI pueda seguir desempeñando un papel fundamental en la seguridad de la World Wide Web. Uno de los organismos más importantes que rigen los requisitos que deben cumplir las CA es el CA/Browser Forum (CA/B Forum) y sus grupos de trabajo especializados. Los grupos de trabajo del Foro CA/B llevan ya bastante tiempo publicando los requisitos oficiales para los certificados SSL/TLS y de firma de código de confianza pública. Es imperativo que las CA sigan estos requisitos; de lo contrario, la confianza pública puede perderse fácilmente.
Y luego están los certificados S/MIME. En los últimos años han ido adquiriendo cada vez más importancia comercial y muchas grandes empresas han empezado a utilizar certificados S/MIME de confianza pública para firmar y cifrar sus correos electrónicos. Debido a la falta de normas y directrices en el sector, las Autoridades Certificadoras y las aplicaciones de cliente de correo electrónico han empezado a establecer sus propias reglas para los perfiles y el contenido de los certificados, algunas de las cuales entran en conflicto entre sí. Para resolver este problema, se creó el grupo de trabajo S/MIME, dependiente del CA/B Forum. El grupo de trabajo pretende estandarizar los perfiles de certificado para que sean aceptados de manera más uniforme y permitan una mayor interoperabilidad.
Tiempos de cambio
Una norma clave que se está debatiendo es el periodo de validez de los certificados S/MIME; de hecho, algunos clientes de correo electrónico ya exigen un periodo de validez más corto. En los últimos años, la validez máxima permitida de los certificados SSL/TLS se ha reducido de 5 años a 3 años y a 13 meses, un cambio que en general se reconoce como muy beneficioso en términos de seguridad general.
Llegados a este punto, es importante aclarar que en GlobalSign estamos totalmente de acuerdo con la reducción de los periodos de validez de los certificados. Existe un argumento general a favor de los periodos de validez más cortos. Los periodos de validez más cortos de los certificados aumentan la ‘criptoagilidad’. En pocas palabras, un intercambio más frecuente de material de claves significa una mitigación más frecuente de las debilidades criptográficas y un menor impacto del compromiso de claves.
Sin embargo, a diferencia de SSL/TLS, la inscripción automatizada de certificados S/MIME no cuenta con el mismo nivel de apoyo que ACME para SSL/TLS, por poner un ejemplo. Además, un despliegue completo de certificados S/MIME en una empresa suele implicar la instalación y configuración en muchos más dispositivos que los certificados SSL/TLS. Por lo tanto, los administradores se benefician de periodos de validez más largos, ya que pueden reducir el esfuerzo que supone dar soporte manual a la renovación de certificados: ese es un argumento a favor de un periodo de validez ‘más largo’.
¿Cómo afectaría a los clientes la evolución de estas normas? ¿Y adónde nos dirigimos a partir de ahora?
GlobalSign está representada en el ya mencionado grupo de trabajo CA/B Forum para S/MIME e intenta activamente dar forma a un estándar para certificados S/MIME con el que todos estén de acuerdo. Al mismo tiempo, GlobalSign está innovando continuamente cuando se trata de apoyar la gestión del ciclo de vida de los certificados en la empresa. El Certificate Automation Manager (Gestor de Automatización de Certificados) de GlobalSign elimina gran parte del esfuerzo ‘manual’ en la renovación de certificados S/MIME y, por tanto, apoya perfectamente nuestra visión de periodos de validez más cortos para los certificados S/MIME y de otros tipos.
Por el momento, se considera la posibilidad de adquirir certificados S/MIME con una validez máxima de 825 días (aproximadamente 27 meses) si lo que más te importa es la confianza de TODOS los clientes de correo electrónico. Si aún no estás preparado para automatizar la gestión del ciclo de vida de tus certificados y deseas reducir al máximo los gastos manuales de renovación, no tienes porqué preocuparte. En un futuro previsible, seguiremos ofreciendo certificados S/MIME con una validez de 3 años. Independientemente de los cambios que surjan en los próximos años (y surgirán), ten la seguridad de que en GlobalSign estaremos encantados de ayudarte a preparar tu negocio para el futuro con soluciones criptoágiles en las que puedas confiar.
