Top Certificate Authority considera que la automatización presenta importantes retos técnicos, de compatibilidad, seguridad y experiencia para una gran parte de las organizaciones
GMO GlobalSign K.K. (https://www.globalsign.com/en), una Autoridad de Certificación (CA) global y proveedor líder de seguridad de identidad, firma digital y soluciones IoT ha anunciado los resultados de una reciente encuesta realizada a empresas y pequeños y medianos negocios que confían en productos y soluciones de Infraestructura de Clave Pública (PKI). Los resultados de más de 100 encuestados indican que muchas organizaciones no están preparadas para los cambios radicales de la industria que exigen la automatización obligatoria de los certificados.
Como ya se comentó en el anuncio del 20 de junio, a finales de este año y en 2024 podrían producirse cambios significativos en el mercado de PKI, siendo el más acuciante la iniciativa de Google de reducir la vida útil de los certificados SSL/TLS. La solución para responder a esta petición de Google, y de otros navegadores, es automatizar la gestión de certificados. Sin embargo, esto preocupa a los millones de empresas de todo el mundo que confían en la PKI para el cumplimiento de la seguridad, ya que muchas de ellas no están preparadas para dar este salto. Para hacerse una idea de cuál es el estado de ánimo de las empresas en torno a esta cuestión, GMO GlobalSign preguntó a 1.000 organizaciones sobre este cambio en el sector. Respondieron aproximadamente 110 empresas.
Principales resultados GMO GlobalSign preguntó sobre los retos a los que se enfrentarán las empresas cuando Google reduzca el certificado máximo a 90 días.
Casi un tercio de los encuestados afirma que el aumento del trabajo administrativo y la complejidad son las mayores preocupaciones (30%). También preocupa a los encuestados la posibilidad de actualizaciones más frecuentes de los certificados raíz, como las previstas por Mozilla para 2024. El 20% de los participantes en la encuesta cree que una rotación de siete años para los certificados raíz es manejable y no causaría un impacto significativo. Al 15% de los encuestados le preocupaban los costes y los gastos generales. Esto preocupaba especialmente a las pequeñas empresas y los sitios web, donde los costes añadidos podrían no estar justificados por los propietarios Otro treinta por ciento expresó su preocupación por los sistemas antiguos o heredados, las caducidades frecuentes y los problemas de seguridad y cumplimiento de la normativa.Tropiezos en la automatización GMO GlobalSign también preguntó a los encuestados sobre los obstáculos generales a la automatización. Las respuestas se dividieron en cinco categorías: limitaciones técnicas, problemas de compatibilidad, seguridad, restricciones de costes y recursos, falta de conocimientos o experiencia e infraestructura.
El 38% cree que las limitaciones técnicas y la compatibilidad son los mayores obstáculos para la automatización. Esto incluye no disponer de soluciones listas para usar para automatizar la gestión de certificados, la falta de compatibilidad con la renovación automatizada en determinados sistemas o entornos (como Windows, IIS, Plesk) y la incompatibilidad de algunos sistemas con soluciones automatizadas estándar. Una cuarta parte de los encuestados señalan las limitaciones de costes y recursos como posibles obstáculos. Esto incluye los costes asociados al desarrollo de un sistema de automatización personalizado y los recursos necesarios para gestionar y mantener soluciones para la gestión automatizada de certificados. El 20% de los participantes afirma que la falta de conocimientos o experiencia es otro posible problema para automatizar los certificados. Esto incluye no saber si los sistemas admiten la inyección de nuevos certificados y el reinicio de servicios, o no estar familiarizado con la automatización en general. El 10% también menciona problemas de seguridad, especialmente la gobernanza y el control de un sistema totalmente automatizado, así como la necesidad de pistas de auditoría, aprobación de seguridad y supervisión en las CA públicas gratuitas. El 7% también expresa su preocupación por los límites de la infraestructura. Esto incluye servidores que están detrás de cortafuegos con políticas estrictas, equipos que no ofrecen una API u otra facilidad para gestionar el certificado, y redes que no tienen acceso a internet."Está claro que existen muchos retos para la automatización de certificados, tanto si se trata de una organización de nivel empresarial como de una PYME. Hay muchos pasos que superar antes de que la gran mayoría de los clientes puedan soportar la automatización completa", dijo Doug Beattie, Vicepresidente de Gestión de Productos de GMO GlobalSign. "En el lado positivo, hoy en día hay herramientas disponibles para eliminar la presión de la automatización de certificados. Nuestros productos como Automated Certificate Management Environment (ACME) ayudan enormemente a una empresa en este proceso. Nuestro sector no tiene claro cuándo puede hacerse realidad la automatización obligatoria en 90 días, pero a juzgar por nuestra encuesta, las organizaciones con inquietudes deberían empezar a tomar medidas ahora. A la larga, les vendrá bien".