En 2023, un certificado digital vencido causó una importante caída de los servicios de la constelación satelital Starlink, operados por SpaceX. Otro tanto sucedió en marzo de este año con los servicios de los Chromecast de Google. La gestión de este tipo de certificados —que son los que garantizan la seguridad del intercambio de información en las redes públicas, a través de comunicaciones encriptadas— se está volviendo un tema complejo y crítico, y lo será mucho más en los próximos años merced a las nuevas regulaciones y al acortamiento de los tiempos de vigencia.
¿La respuesta a este desafío? Asociarse con proveedores de servicios que sepan manejar estas cuestiones, y utilizar las herramientas de descubrimiento y automatización que mejoren la administración de esos certificados. Certisur nació hace veinticinco años con el objetivo de proveer estos servicios de confianza. “Nuestros productos apuntan a asegurar transacciones en línea. Queremos que la gente que opera en Internet lo haga de manera segura”, definió Nestor Markowicz, Chief Operation Officer (COO) de CertiSur. Las soluciones que comercializa Certisur cubren cuatro ejes. “Uno tiene que ver con seguridad en la marca, otro tiene que ver con seguridad en los contratos. El tercero se relaciona con seguridad en las empresas y el último con la seguridad hacia los clientes Tenemos soluciones para cada uno de esos cuatro grupos”, añadió Markowicz.
La compañía tiene su sede en Argentina, y oficinas administrativas en Chile y los Estados Unidos. En la actualidad está formada por 25 personas, la mitad de los cuales tiene expertise técnico. En algunos países de la región opera a través de partners. En la Argentina va de manera directa, pero está abierto a la asociación con otros partners para proveer su solución conjunta (donde quien gestiona la relación con el cliente es el partner, no Certisur).
«Nuestros productos apuntan a asegurar transacciones en línea. Queremos que la gente que opera en Internet lo haga de manera segura».
Nestor Markowicz, COO de CertiSur.
Para habilitar a partners potenciales y clientes, la gente de Certisur ofrece capacitación sobre sus soluciones. Sin embargo, aclaró Markowicz, se trata de una tecnología de nicho. “El expertise relacionado con esta tecnología no lo tiene cualquiera. Y esta tecnología evoluciona cada vez más rápido”, advirtió.
Certificar para asegurar y brindar confianza
Dependiendo de los productos, los clientes de Certisur se ubican en distintas verticales. Por ejemplo, en su oferta relacionada con los certificados SSL (el que garantiza el intercambio seguro de información entre un sitio web y los browsers de los visitantes), “ están involucrados clientes de todo tipo de empresas. Todas las empresas tienen que tener un certificado de SSL. Si un sitio web no tiene este certificado, los navegadores pueden mostrar la advertencia de sitio no seguro o bloquear el acceso al sitio”.
“Después tenemos otras líneas de negocios que apuntan fundamentalmente al mercado financiero. Estas soluciones permiten asegurar transacciones de usuarios finales. Es tecnología de PKI (Public Key Infrastructure), con la que nosotros le damos a nuestros clientes la capacidad de que emitan certificados digitales para sus respectivos clientes”, explicó Markowicz.
Esta es tan sólo una parte de la tecnología que Certisur provee de la mano de marcas reconocidas mundialmente, como es el caso de Digicert. ”El certificado te permite firmar, pero para que la transacción se realice en la web necesitas software que te permita tomar ese certificado y aplicarlo a la operación que querés hacer. Nosotros desarrollamos un software que se llama Alison para este fin”, detalló el ejecutivo.
La historia del desarrollo de Alison se remonta a 2010, cuando Verisign —proveedor, entre otras cosas, de soluciones de autenticación que Certisur representaba—, vendió esa parte de su negocio a Symantec. Pronto los clientes comenzaron a notar la desinversión que el nuevo dueño hacía sobre esta categoría de soluciones. Fue entonces que Certisur decidió comenzar a hacer in house todos aquellos desarrollos de software que Symantec no aportaba, pero que eran necesarios para el soporte y la actualización de las soluciones. “En 2017 Symantec vendió este pedazo de su negocio a una empresa llamada Digicert: la número uno en materia de certificados digitales”, comentó Markowicz. Más recientemente, Certisur hizo evolucionar esta plataforma (que ahora se llama Alison Server) hacia la nube, proveyendo esta prestación “as a service” (antes era necesario instalar un software localmente).
La urgencia por ganar criptoagilidad
CA/Browser Forum es una organización que agrupa autoridades certificantes como la propia Digicert, pero también a los proveedores de los browser de Internet, como Google, Mozilla y Microsoft, y grandes empresas tecnológicas como Apple. Este foro creado en 2005 se encarga de establecer las normas que regulan los certificados digitales que se instalan en los servidores, y controla también (con gran rigor) su cumplimiento.
Precisamente el CA/Browser Forum es quien, desde hace un tiempo, está bajando los tiempos de vigencia de los certificados, acorde a los riesgos de seguridad y las nuevas tecnologías que están surgiendo (sobre todo con un horizonte donde ya asoma la computación postcuántica y su promesa de resolver rápidamente las encriptaciones tradicionales). De períodos de validez que se medían en seis o siete años, progresivamente se llegó al año, que es la ventana de validez que se maneja en la actualidad. “Pero a partir del año que viene va a cambiar esto. En marzo del 2026 la duración de los certificados se va a reducir a 200 días. En marzo del 2027, la vigencia bajará a sólo 100 días. Y en marzo del 2029, dos años después, se reducirá a 45 días”, resumió el COO de Certisur.
Hacer esto manualmente, sobre todo si se manejan decenas o centenares de certificados (incluso, wildcard mediante, en distintas instancias) se volverá una tarea imposible. “Se va a necesitar algún tipo de software de gestión que pueda hacer frente a todos los procesos administrativos relacionados con certificados digitales. Ese gestor debería proveer, al menos, dos capacidades particulares. La primera, de Discovery”, enumeró Markowicz.
“Para poder accionar sobre tu plataforma, necesitas saber dónde están tus activos criptográficos. Los certificados pueden estar diseminados por distintos servidores, algunos físicos, algunos en la nube, algunos públicos y otros en tu intranet. De modo que se necesita un gestor que te permita ver cuáles son los certificados desplegados. Las primeras soluciones que están empezando a implementar son soluciones de Discovery, que lo que hacen es un escaneo para descubrir todos esos certificados instalados, sus características y en qué estado están”, precisó el COO.
«En marzo del 2026 la duración de los certificados se va a reducir a 200 días. En marzo del 2027, la vigencia bajará a sólo 100 días. Y en marzo del 2029, dos años después, se reducirá a 45 días (…) Se va a necesitar algún tipo de software de gestión que pueda hacer frente a todos los procesos administrativos relacionados con certificados digitales».
“Nosotros tenemos dos soluciones de Discovery: una es de Digicert y otra de AppViewX. Esta última ofrece una automatización muy granular y personalizable, integrándose de forma nativa con una gran variedad de entornos híbridos y multicloud”, agregó. La segunda capacidad deseable es la de automatización (Automation) de las renovaciones. “Toda empresa que tenga más de diez o quince certificados, no importa el rubro en el que esté, va a necesitar este tipo de soluciones. O bien pensar en algún mecanismo de automatización. Hay herramientas gratuitas de automatización a través del protocolo ACME (Automatic Certificate Management Environment / Entorno de Gestión Automática de Certificados)”. Sin embargo, aclaró Markowicz, no es una tarea trivial: tiene muchas propias complejidades y hay gran cantidad de variantes dentro de esos despliegues.
Consultado sobre el estado de madurez de las organizaciones en materia de crypto agility, el COO de Certisur admitió: “En lo relacionado con los certificados SSL, vemos que es una tecnología conocida y madura. Esa tecnología está desparramada dentro de la organización, pero no hay muchos especialistas en este tema: es muy sensible y una equivocación puede dejar sistemas sin funcionar. Eso tendría un impacto grande en la organización”.
“Recomendamos que tercericen esos servicios, que no lo hagan internamente. Les pedimos que confíen en aquellos especialistas que lo vienen haciendo desde hace muchos años”, instó Markowicz.
Autores
