Trabajamos con muchos clientes que deben proteger desde cientos hasta miles y decenas de miles de dominios y subdominios. Dada la inmensa cantidad de estas denominaciones, la gestión eficiente de su protección puede resultar abrumadora, especialmente debido a la proliferación de las amenazas. La superficie de ataque aumenta a medida que las tendencias como el trabajo remoto aceleran la transformación digital, ya que no solo los sitios web requieren protección, sino todas las interacciones digitales. De algún modo, debemos equilibrar la seguridad y la eficiencia de todo el inventario de certificados sin inclinar demasiado la balanza en ninguna dirección en particular. Lo que necesita es una solución ideal que facilite la gestión a gran escala y ofrezca protección de primera calidad, para que sus clientes sigan depositando su confianza en usted.

Los certificados TLS comodín son un excelente ejemplo de una solución eficiente que puede volverse insegura con rapidez si no se gestiona de forma adecuada. Por un lado, los comodines son un recurso sencillo para proteger, en teoría, una cantidad ilimitada de subdominios. Por otro lado, mientras más se reutilicen, más peligrosos pueden ser para la seguridad. Por consiguiente, muchas empresas están prohibiendo el uso generalizado de certificados comodín, ya que su implementación incorrecta los vuelve inseguros.

De hecho, la Agencia de Seguridad Nacional (NSA) de EE. UU. advirtió recientemente sobre el uso excesivo de los certificados comodín. La NSA indicó que los certificados comodín son especialmente vulnerables a la técnica ALPACA, que busca explotar servidores TLS mediante certificados compatibles. Por lo tanto, comprender los peligros asociados a los certificados comodín es fundamental para mejorar la forma en que su empresa gestiona los riesgos. Esta publicación ahonda en los motivos por los cuales los certificados comodín pueden ser inseguros y en las opciones para equilibrar la eficiencia y la seguridad de sus certificados.

¿Qué es un certificado TLS/SSL comodín?

Un certificado TLS comodín es un certificado único con un asterisco (*) en el campo del nombre de dominio que le permite proteger un dominio y múltiples subdominios. En teoría, los administradores tienen la capacidad de proteger infinitos subdominios con un solo certificado comodín. Como resultado, los certificados comodín pueden ser útiles para incrementar la productividad de las compras y la distribución. Sin embargo, la posibilidad de proteger cientos o miles de subdominios con un único certificado comodín no significa que deba hacerlo.

¿Cuáles son los riesgos de seguridad asociados a los certificados comodín?

Aunque al principio son fáciles de implementar, los certificados comodín pueden ser difíciles de detectar y reparar si ocurre algún problema, lo que es posible, ya que los ciberdelincuentes los toman de objetivo y se aprovechan de sus vulnerabilidades. Desafortunadamente, optar por una solución de protección cómoda para sus subdominios también les allana el camino a los atacantes. Estos pueden poner en peligro no solo su dominio principal, sino todos los subdominios que usen el mismo certificado comodín.

De hecho, el modo en que algunos administradores usan los comodines hoy en día se asemeja a la fijación de certificados, una práctica que recomendamos evitar. Por ejemplo, las empresas podrían usar un único certificado comodín en miles de ubicaciones diferentes correspondientes a varios servidores, incluso de terceros, pero aunque esta práctica es eficiente, también es muy insegura. Aunque se vea comprometido un solo servidor, todos los dominios que usen ese certificado se vuelven vulnerables. Además, cuantos más agentes están a cargo de los subdominios, mayor es la necesidad de compartir la clave privada, lo que implica un riesgo más grave. En una publicación anterior ya analizamos por qué no se deben compartir las claves privadas. No obstante, lo peor que podría suceder es que los hackers accedan a la clave privada de un certificado comodín, ya que podrían usarla para crear un subdominio, protegerlo con el mismo certificado comodín y hacerse pasar por su marca legítima en campañas de suplantación de identidad. La NSA advirtió que las claves privadas de certificados comodín que son robadas también se usan en ataques de abrevadero, publicidad o intermediario, lo cual dañaría su reputación. Por lo tanto, aunque los certificados comodín parecen eficientes al principio, los riesgos de seguridad —que surgen cuando una empresa no los controla ni los supervisa adecuadamente— neutralizan la eficiencia buscada.

Aplicación protegida que se vio vulnerada mediante la técnica ALPACA (Fuente: NSA)

Sabemos que las empresas se administran de la mejor forma posible con el personal que tienen disponible y queremos facilitarles la implementación de la eficiencia y la seguridad. Por ese motivo, recomendamos la automatización.

Automatización: el equilibrio perfecto entre eficiencia y seguridad

La automatización es la mejor solución para equilibrar la eficiencia y la seguridad porque se puede implementar de forma segura sin abrumar al personal. La automatización logra la eficiencia del inventario de certificados con aún mayor efectividad que los certificados comodín. Olvídese de los dolores de cabeza causados por las hojas de cálculo. Las soluciones de PKI modernas automatizan las solicitudes, renovaciones, validaciones, alertas y revocaciones de certificados, entre muchas otras tareas, para que pueda simplificar la gestión del ciclo de vida de sus certificados, ahorrar tiempo y reducir riesgos. Por eso mismo, 9 de cada 10 empresas ya están implementando la automatización de PKI.

CertCentral® de DigiCert ofrece varias maneras de configurar la automatización; por ejemplo, mediante el protocolo ACME, herramientas de automatización o API. Su interfaz de usuario permite gestionar varios clientes de ACME que se ejecuten en servidores Windows y Linux, de modo que cualquier empresa pueda disfrutar de funciones de automatización básicas. Además, las API pueden integrar CertCentral directamente con el sistema o la plataforma de su elección, lo que ofrece flexibilidad y posibilidades de personalización ilimitadas. Por último, en lo que respecta a funciones de automatización escalables y gestionadas, DigiCert ofrece un conjunto de herramientas de automatización para empresas que se integran a la perfección con otras soluciones de OEM, como los balanceadores de carga más usados, F5, Amazon AWS, Citrix y muchas más. Descubra cómo prepararse para automatizar flujos de trabajo y certificados PKI en un artículo reciente.

Cuándo comprar un certificado comodín

De todas formas, puede comprar un certificado comodín si necesita proteger varios subdominios. Además, lo puede hacer de forma interna y segura. Los certificados comodín ofrecen reducciones de costos e implementaciones rápidas. No obstante, antes de hacerlo, debe comprender cuáles son los riesgos de seguridad e implementar controles y supervisiones para asegurarse de que su certificado no pueda ser explotado. Por ejemplo, sugerimos que limite el uso de certificados comodín y siga las prácticas recomendadas para almacenar y proteger las claves privadas. Además, si es necesario, DigiCert puede brindarle ayuda para que proteja mejor los certificados comodín con técnicas específicas. Por ejemplo, hemos ayudado a varios clientes a usar una solicitud de firma de certificados (CSR) diferente para cada comodín que emiten. Así, se crea un certificado duplicado con una CSR diferente para cada emisión, aunque se trate del mismo comodín, lo que proporciona una mayor separación y, en consecuencia, mayor seguridad.

Quizás también le interese un certificado multidominio o de nombre alternativo del sujeto (SAN) como opción más segura. De forma similar a los comodines, los certificados SAN abarcan varias URL, pero se limitan a una lista específica. Sin embargo, es probable que la automatización sea la mejor solución a largo plazo para equilibrar la eficiencia y la seguridad de todo su inventario de certificados.

Obtenga la guía de prácticas recomendadas para TLS de 2022

Descargue la edición 2022 de nuestra guía de prácticas recomendadas para TLS para obtener más información sobre cómo simplificar la gestión de los certificados, habilitar la automatización y garantizar la seguridad de todo su inventario de certificados.