Ir al contenido principal

Concluye la validez prolongada para los certificados TLS

 El 31 de agosto fue el último día en que las empresas podían comprar certificados TLS con más de 398 días de duración.



Hasta el último día de agosto fue posible comprar certificados con máximo de  825 días de validez. Los certificados ya extendidos podrán ser utilizados hasta su vencimiento.

 Aunque  anteriormente se  discutieron propuestas sobre una reducción en  el periodo de validez de tales certificados,  fue una decisión unilateral de Apple adoptada en febrero de este año que decidió el tema. En la oportunidad,  Apple anunció que a partir del 1° de septiembre de 2020 su navegador Safari ya no ofrecería soporte para certificados con una validez que  excediera los 398 días.

 La medida de Apple fue posteriormente secundada por Google y Mozilla.  Aunque los emisores de tales certificados anteriormente  se habían opuesto a propuestas similares,  finalmente todos terminaron alineándose con la posición de Apple y Google, por lo que no ofrecerán certificados TLS  con una validez superior a los 398 días.

 Hace algunos años incluso era posible comprar certificados SSL y TLS  de hasta 10 años de duración. Desde entonces,  la validez  de los nuevos certificados ha sido reducida considerablemente, en varias oportunidades. 

 La principal motivación argumentada por las empresas impulsoras de la iniciativa ha sido la seguridad.  En primer lugar,  durante el periodo de validez de los certificados es posible detectar vulnerabilidades que hacen que las tecnologías de cifrado con las que  estos han sido firmados dejen de ser seguras.  Se considera entonces importante que estas tecnologías sean desfasadas con la mayor rapidez  y, en tal sentido, un período de validez inferior de los certificados contribuye a tal efecto.

 Otro factor mencionado es que la  prolongada duración de las llaves de cifrado incrementan el riesgo de brechas de seguridad,  dando a un potencial  atacante la posibilidad de interceptar las comunicaciones o de instalar instancias de phishing.  El beneficio de  renovar el certificado es evidente, ya que al hacerlo también se cambian las llaves de cifrado.

Un tercer factor es que el certificado TLS  conserva su validez después que un dominio ha sido transferido a un nuevo dueño.  Esto implica que el propietario anterior del dominio continúa teniendo acceso a un certificado válido, que puede utilizar a  voluntad para interceptar o manipular la conexión TLS.  En conclusión, al reducirse la validez de los certificados también se reduce el periodo en que estos pueden ser utilizados por actores malignos.

Los sitios web que hasta ahora  hayan utilizado certificados con 2 años de duración deberán renovar los mismos con mayor frecuencia a futuro.  Para el caso de las empresas propietarias de numerosos dominios,  la situación indudablemente ocasionará un mayor trabajo administrativo.  En este contexto, cabe señalar que hay soluciones que automatizan la renovación de los certificados,  como por ejemplo Let’s Encrypt,  que ofrece certificados TLS  gratuitos que pueden ser renovados automáticamente con herramientas que soporten el protocolo ACME.

En 2017, Let’s Encrypt enfrentó serias críticas por haber otorgado certificados SSL sitios de phishing (ver artículo relacionado).


Fuente: https://diarioti.com/

 www.conectareus.com

Comentarios

Publicar un comentario

Entradas populares de este blog

Cómo protegerte de los cuatro ciberataques más populares en internet

ABC consulta con expertos y hackers las claves para protegerse de ataques de tipo «ransomware», «phishing», «adware» y «WiFi Hacking» La tecnología tiene sus beneficios, pero también sus pegas. Su vertiginoso desarrollo ha facilitado la vida de los usuarios; sin embargo, ha permitido que los delincuentes informáticos tengan más armas a su alcance. Y cada vez las utilizan más y mejor. Así lo demuestra, por ejemplo, el repunte de ciberataques gestionados por el Incibe . Si en el año 2014 estábamos hablando de 17.888 ciberataques; en 2018, se ascendió hasta los 111.519 incidentes. Nadie está completamente a salvo, ni particulares ni empresas. Pero eso no significa que no se le puedan poner las cosas especialmente difíciles a los atacantes. La empresa de formación tecnológica Keepcoding ha destacado cuatro de los ciberataques más populares actualmente en España. ABC consulta con hackers y expertos las claves para que el usuario pueda detectarlos a tiempo y evitarlos. Ransomware Pos
1 comentario
Leer más

Western Digital presenta sus nuevos discos de red WD Red de 6 TB

WD ha presentado los nuevos discos de su galardonada serie de discos duros WD Red , diseñada para dispositivos de red NAS de entornos domésticos y pequeñas empresas. Han presentado dos nuevas unidades, de 5 y 6 TB de capacidad , además de la introducción de la nueva serie de discos duros WD Red Pro , éstos orientados a medianas y grandes empresas. Con estos últimos, ahora la serie de discos duros WD Red ofrecen las  capacidades de 1, 2, 3, 4, 5 y 6 TB, mientras que la nueva serie WD Red Pro se ofrece en capacidades de 2 y 4 TB de momento, aunque se espera un nuevo modelo de 6 TB pronto en esta serie. Según las palabras de Matt Rutledge, mánager general de WD Storage Technology,  “Con la expansión y la evolución de la familia WD Red, una vez más le proporcionamos a nuestros clientes las últimas innovaciones, ahora con 6 TB de capacidad por disco y con soporte para funcionar en dispositivos de 8 bahías. Además, la nueva serie WD Red Pro proporciona una mayor amplitud de mi
Publicar un comentario
Leer más

Las acciones de Alphabet (Google) alcanzan un máximo histórico y su crecimiento es imparable

Al día de hoy, Alphabet (que para efectos prácticos nos referiremos como Google) es una de las compañías tecnológicas más sólidas del mundo, y esto lo confirma con sus más recientes resultados financieros que corresponden al tercer trimestre de 2016 que concluyó el pasado 30 de septiembre. Las cifras que presenta Google son impresionantes compradas con lo mostrado el año anterior, lo que ha provocado que las acciones se hayan disparado hasta alcanzar un máximo histórico para la compañía. En resumen, Google está reportando ingresos por 22.451 millones de dólares, es decir, un incremento del 20% respecto al mismo periodo del año anterior, lo que significa que la estrategia del cambio hacia Alphabet ha sido un verdadero éxito. Google empieza a dejar de depender de la publicidad Algo que se destaca de los números que presenta Google para este trimestre es la baja en los ingresos por publicidad, algo que en otros años hubiera significado una caída global en ingresos debido a su d
Publicar un comentario
Leer más