HPE entre los líderes de almacenamiento de Gartner
Las autoridades públicas de certificación (CA, por sus siglas en inglés) están advirtiendo que para el 1 de noviembre rechazarán las solicitudes de certificados de servidor SSL internos que no se encuentren acordes con las nuevas convenciones sobre nombres de dominios internos y direcciones IP diseñadas para salvaguardar las redes.
La preocupación es que los certificados digitales para los servidores SSL emitidos por las CA en la actualidad para los servidores de correo electrónicos corporativos internos, servidores web y bases de datos no son únicos, y pueden potencialmente ser usados en ataques ‘man in the middle’ que involucran el establecimiento de servidores falsos dentro de una red objetivo, afirman los representantes de la Certification Authority/Browser Forum (CA/B Forum), el grupo de la industria que establece las pautas de seguridad y operativas para los certificados digitales. Entre los miembros se encuentra un abrumador número de CA públicos de todo el mundo, además de los fabricantes de navegadores como Microsoft y Apple.
“Incluso en una red interna, es posible que un empleado establezca un servidor falso”, señala Rick Andrews, director técnico senior de servicios trust de Symantec, al explicar las nuevas reglas.
El problema en la actualidad es que los administradores de red usualmente dan a sus servidores nombres como“Server1” y le asignan direcciones IP internas de tal forma que los certificados SSL emitidos para ellos a través de las CA públicas no son necesariamente únicos a nivel global, señala Chris Bailey, gerente general de Deep Security for Web Apps de Trend Micro.
“Las personas confían en estos nombres internos en la actualidad”, señala Bailey. Pero “si alguien los ‘hackea’pueden establecer un dominio de ‘man in the middle’.
Hace tres años el CA/B Forum llegó a la conclusión de que éste era un tema de seguridad significativo, y estableció nuevas pautas para la emisión de certificados que comenzaron a compartir con sus clientes. Ahora que se acerca el plazo del 1 de noviembre, están hablando de ello.
Para el 1 de noviembre, los administradores de red que soliciten certificados SSL internos a un CA público, tendrán que seguir estas nuevas pautas. Los administradores de red tendrán que asegurar que las solicitudes de certificados de servidor SSL estén expresadas de tal forma que se asocien con un nombre de dominio externo, sostiene Andrews. Algunas empresas ya usan nombres que se encadenan con el nombre de la compañía, pero “éstas son probablemente la minoría”, añade.
¿Más trabajo para usted?
Estos cambios relacionados a la emisión pública de certificados para servidores SSL significa que en algunos casos, los administradores de red podrían necesitar ampliar su infraestructura DNS interna de tal forma que el nombre se mapee apropiadamente, indica Andrews. Para algunas organizaciones, especialmente las grandes que tienen grandes redes, este podría ser un conjunto de cambios difíciles, que incluso podrían impactar en las aplicaciones que corren en estos servidores, reconoce el ejecutivo.
Para las organizaciones o administradores de red que no deseen adherirse a las nuevas pautas, hay pocas alternativas, además, afirma Andrews, muchos no serán atractivas. Las organizaciones pueden decidir no obtener certificados SSL públicamente emitidos para servidores internos, y en cambio comenzar a emitir de forma privada certificados digitales por sí mismas confiando en su propia jerarquía administrativa. Pero los navegadores web no necesariamente podrían reconocer estos certificados privados y se tendrían que realizar más cambios para asegurarse que lo hagan.
Otro de los plazos del CA/B Forum que se debe tomar en cuenta: el 1 de octubre del 2016. Ese día, todos los certificados SSL emitidos para dominios internos que no cumplan con los estándares serán revocados. Las organizaciones que determinen que deben hacer cambios para cumplir con las pautas tienen dos años para hacer la migración.
Ellen Messmer, Network World (EE.UU.)
