Existen varias razones por las que una empresa decide migrar de proveedor de certificados SSL/TLS. Ya sea por cuestiones de estrategia comercial, para acceder a tecnologías más novedosas y seguras, o para unificar todo el inventario de certificados bajo un único proveedor, este proceso debe encararse con cierto cuidado para evitar caídas o interrupciones en servicios, o incluso brechas de seguridad.
El cambio a una nueva Autoridad Certificadora (CA) para tus certificados TLS puede parecer una gran tarea, pero no es tan complicado como puede aparentar. La clave del éxito es tener un conocimiento sólido de tu entorno actual y establecer expectativas con las partes interesadas sobre lo que esto implica, en términos de recursos y costos.
GlobalSign ofrece una guía práctica de cuatro sencillos pasos a seguir para conseguir una migración exitosa y sin interrupciones de servicios.
Paso 1 – Analizar lo que se tiene
Lo primero que hay que abordar para encarar una migración de proveedor es conocer a fondo todos los certificados SSL/TLS que la empresa posee y está utilizando. La primera etapa consiste en identificar todos los certificados emitidos. Posteriormente, hay que verificar dónde están instalados y cómo están siendo empleados.
Esta puede volverse una tarea bastante engorrosa, pero podrás valerte de herramientas de descubrimiento de certificados (como Atlas Discovery) para indexar la red y de esta manera localizar todos los certificados existentes. Este es también un buen momento para revisar la configuración de servidores y aplicaciones y chequear aquellos no seguros.
En este paso es también importante determinar el equipo de personas que estará a cargo de la migración y sus roles, identificando a los usuarios y administradores de la nueva plataforma.
Paso 2 – Determinar los pasos a seguir
En esta fase nos enfocaremos en conocer la plataforma de la nueva autoridad de certificación (AC) y planificar los tiempos y estrategia para la migración, considerando los recursos disponibles, la cantidad de certificados a ser migrados, y el equipo que estará a cargo del proceso.
Al llegar a este punto, será necesario optar por una estrategia de migración. A grandes rasgos, tenemos dos alternativas: un modelo de transición, en el que podremos ir emitiendo los nuevos certificados a medida que vayan expirando los certificados actuales, o un modelo de nuevo comienzo o tabula rasa: eliminar todos los certificados existentes y reemplazarlos de una vez con el nuevo proveedor. Cada uno de estos dos modelos tiene sus ventajas y desventajas; en función del análisis anterior, podrás determinar el que mejor se ajuste a las necesidades de tu organización.
También en esta fase es importante identificar los certificados de uso interno frente a aquellos de uso externo, establecer prioridades, así como también evaluar las integraciones con APIs existentes.
Paso 3 – Calcular el costo
Naturalmente, el costo es un punto central para toda organización. Para realizar un análisis adecuado, se puede separar los costos según su naturaleza, en gastos de capital, gastos operacionales, y costo anual de los certificados.
Entre los costos de capital, hay que incluir los correspondientes a la herramienta de detección de certificados, los servicios de gestión del ciclo de vida de los certificados, así como también la integración de las API existentes y aquellas nuevas integraciones que sean necesarias.
Paso 4 – Analizar proveedores TLS/SSL
Una vez concretado estos análisis, llega el momento de evaluar las opciones de proveedores disponibles. Debes tener en consideración que no estás eligiendo solamente un producto, sino un socio comercial. En ese rol, tu nuevo proveedor deberá ser capaz de ayudarte con entornos que se ajusten a tus necesidades específicas, y también de asesorarte sobre iniciativas de seguridad en general.
Asegúrate de que la CA que elijas te ofrezca herramientas adecuadas que te permitan verificar la configuración de tus servidores para ofrecer la máxima seguridad, y que cuente con una amplia gama de soluciones para la automatización y gestión del ciclo de vida de tus certificados, lo que te permitirá mantener los costos operacionales bajo control. Esto es especialmente crítico ahora que Apple ha propuesto un ciclo de vida de 45 días para los certificados. Hasta ahora, antes de su propuesta en octubre, la industria de la seguridad todavía estaba centrada en la iniciativa de 90 días de Google. Pero la propuesta de Apple agregó un nivel de complejidad completamente diferente, lo que constituye también otra señal de que la automatización de certificados ya no es tan solo una opción.
Conclusiones
De acuerdo con GlobalSign, la migración a un nuevo proveedor de certificados SSL/TLS es un proceso que debe encararse a conciencia, pero no necesariamente es tan engorroso como aparenta. Es importante tener claros los pasos a seguir para evitar olvidos u omisiones que puedan llevar a caída de aplicaciones o servicios, o a su utilización no segura. Ten en consideración que una falla en este sentido puede llevar a pérdidas de ingresos o incumplimientos con clientes, entre otros varios riesgos.
Finalmente, analiza cuidadosamente los costos, y ten presente que la CA que elijas no debe ser tan sólo un proveedor de un producto, sino un aliado integral que cuide por la seguridad de tu organización.
