Última actualización: 15 de septiembre de 2025

En las últimas tres décadas, los certificados digitales (X.509) se han convertido progresivamente en parte de la infraestructura crítica, y las empresas dependen de ellos para respaldar operaciones comerciales esenciales. Sin embargo, dado que el uso de certificados digitales se expandió gradualmente con el tiempo, muchas organizaciones no han mantenido las mejores prácticas; continúan gestionando certificados de manera improvisada, sin supervisión ni control centralizados. Estas prácticas conducen a un aumento de los riesgos empresariales, exposiciones de seguridad desconocidas y frecuentes caídas de servicio.

Este documento está estructurado de la siguiente manera: en la primera parte, analizaremos las herramientas de Gestión del Ciclo de Vida de Certificados (CLM) y sus capacidades. Discutimos las PKI privadas y públicas, incluidas sus ventajas y desventajas. En la segunda parte, describimos un programa CLM paso a paso que se aplica a organizaciones de todos los tamaños. Si se sigue, este programa te permitirá tomar el control de tu patrimonio de certificados digitales, llevándote desde lo básico pasando por visibilidad y control, hasta la automatización y las mejores prácticas de seguridad.

La Gestión del Ciclo de Vida de Certificados es un proceso integral para administrar los certificados digitales durante todo su ciclo de vida. Es un aspecto crítico de la ciberseguridad que garantiza que las identidades digitales de una organización y las comunicaciones de red sean seguras y confiables. Un programa CLM exitoso satisfará dos requisitos principales: 1) ayudar a descubrir y monitorear los certificados de la organización y 2) brindar soporte operativo para las operaciones de certificados, incluida la automatización de emisión, despliegue, rotación y revocación.

Las actividades relacionadas con la gestión de certificados se comprenden mejor en el contexto más amplio de la gobernanza de la criptografía. Descubrimiento criptográfico e inventario son dos iniciativas relacionadas que están muy ligadas a la gestión del ciclo de vida de los certificados. El CLM debe verse como un programa continuo diseñado para satisfacer las necesidades organizacionales de disponibilidad, cumplimiento y seguridad.

La Gestión del Ciclo de Vida de Certificados es una función necesaria para la mayoría de las empresas, pero actualmente hay dos fuerzas en juego que requieren acción inmediata:

• Reducción de la vigencia de los certificados: en el ámbito de la PKI pública, los periodos de vigencia de los certificados se están reduciendo desde el máximo actual de un año, primero a 200 días en marzo de 2026, luego a 100 días en marzo de 2027 y finalmente a sólo 47 días en marzo de 2029. A menos que la renovación se automatice, estos cambios aumentarán los costos operativos relacionados con las renovaciones y también la probabilidad de interrupciones del servicio. Lee más sobre estos cambios en nuestro artículo en el blog sobre este tema.
• Migración post-cuántica: la amenaza inminente de un computador cuántico relevante para la criptografía exige migrar alejándose de los algoritmos de clave pública usados actualmente. El consenso general es que la migración de propiedades importantes debe completarse en los próximos cinco años.

La Infraestructura de Clave Pública (PKI) es un sistema para la gestión de identidades digitales. Una identidad digital se construye a partir de una clave privada, que es la esencia de la identidad, y el certificado correspondiente, que incluye una clave pública asociada y metadatos relevantes. Las identidades, junto con las reglas de emisión, uso, revocación y otras operaciones similares, conforman una PKI.

Por lo general, una PKI se crea y diseña para una necesidad particular. De hecho, es una mejor práctica separar las PKI que no tienen casos de uso superpuestos, ya que eso mejora la seguridad mediante la compartimentación.

Algunas PKI están diseñadas para la colaboración entre organizaciones, y las llamamos públicas. Si una organización crea PKI para sus propias necesidades, las llamamos privadas. La diferencia clave entre ambas es que, en las PKI públicas, usualmente hay una estructura de gobernanza separada; todos los participantes deben seguir las mismas reglas. En las PKI privadas, las organizaciones que las crean y usan tienen control total y pueden diseñarlas para satisfacer sus necesidades exactas.

• Diseñadas para colaboración e interoperabilidad entre organizaciones.
• Gobernanza independiente; todos juegan bajo las mismas reglas.
• Gran parte del trabajo lo realizan terceros, como programas raíz y autoridades de certificación (CA).
• Los cambios son lentos y pueden involucrar política, esperas a los más rezagados, etc.

• Diseñadas para uso privado de la organización.
• Control total sobre el diseño y operación de la PKI.
• Requiere mayor esfuerzo de implementación para considerar todos los aspectos de la PKI.
• Pueden avanzar al ritmo de la organización.

Existen varias PKI públicas con las que podríamos estar preocupados. Internet PKI se refiere al sistema global que protege Internet. En él, se emiten certificados digitales para validar conexiones entre participantes de la red, normalmente usando el protocolo Transport Layer Security (TLS). Web PKI puede verse como un subconjunto de Internet PKI, usado sólo por navegadores y adaptado a sus necesidades específicas. Ambas PKI se solapan y sus nombres suelen usarse indistintamente. S/MIME PKI está diseñada para proteger la comunicación por correo electrónico y opera bajo reglas distintas.

Estas PKI públicas están en gran parte gobernadas por los principales programas raíz, como los implementados por Apple, Chrome, Microsoft y Mozilla. Los programas raíz establecen las reglas y deciden qué CA pueden participar. Además, el CA/Browser Forum es un organismo del sector que regula algunos de los aspectos técnicos de las PKI públicas.

Las características clave son las siguientes:

• Cualquiera puede participar
• Emisión basada en la prueba de control de la infraestructura
• Los periodos de vigencia cortos hacen que la automatización sea obligatoria
• Los certificados son en su mayoría gratuitos
• Todos los certificados se registran en logs públicos
• No se permite criptografía débil
• Perfiles de certificado fijos
• Opciones limitadas para la comprobación de revocación

La principal ventaja de las PKI públicas es que están gestionadas por grandes organizaciones globales, lo que significa que el coste de participar es bajo o nulo. Esto nos da interoperabilidad, pero a costa de la flexibilidad. Para muchos casos de uso, esta compensación funciona bien, especialmente ahora que los certificados públicos están disponibles sin coste. Incluso las grandes organizaciones a menudo usan certificados públicos para sus infraestructuras privadas.

Sin embargo, existen algunos casos en los que las PKI públicas resultan demasiado limitantes:

• Falta de autenticación robusta en la emisión 
• No hay control sobre la vigencia de los certificados
• Los certificados filtran información sobre la infraestructura privada
• No hay soporte para certificados de cliente o dispositivos
• No hay soporte para firma de código y documentos
• No hay soporte para perfiles personalizados de certificados
• Emisión de certificados limitada por tasa
• Opciones limitadas de protocolos de emisión
• Adopción más lenta de nuevos estándares (por ejemplo, criptografía post-cuántica)

Dependiendo del caso de uso y la experiencia y presupuesto existentes, una organización puede optar por implementar y alojar una PKI internamente, o utilizar una de las opciones gestionadas ofrecidas por proveedores de la nube y autoridades de certificación.

Hemos establecido que los certificados se crean en sus respectivas PKI. Gracias al ahora ampliamente disponible protocolo Automated Certificate Management Environment (ACME), los servidores individuales pueden obtener sus propios certificados comunicándose directamente con sus CA preferidas. Este enfoque es utilizado tanto por organizaciones pequeñas como grandes.

Algunas organizaciones que desean mayor control o visibilidad pueden optar por usar herramientas de gestión del ciclo de vida de certificados. Por ejemplo, una organización que quiera tener visibilidad de sus actividades podría desplegar un producto CLM que implemente descubrimiento y monitoreo.

Las organizaciones más grandes pueden depender de una o más herramientas CLM para imponer la emisión centralizada y tener mejor control sobre qué CA se usan y dónde. Esto es especialmente cierto si operan PKI privadas para sus infraestructuras internas. 

Como en cualquier otra iniciativa, la clave para lanzar un programa CLM exitoso es comprender las necesidades empresariales subyacentes. Por ejemplo, considera las siguientes necesidades de seguridad y cumplimiento:

• Gestión de riesgos y gobernanza; proporciona visibilidad de todos los certificados emitidos como base para una supervisión y control sólidos.
• Requisitos regulatorios y cumplimiento; garantiza que los certificados cumplan con todas las regulaciones pertinentes.
• Seguridad mejorada; monitorea los despliegues de certificados para garantizar que se utilice criptografía suficientemente robusta.
• Agilidad criptográfica; facilita la capacidad de la organización para identificar sus activos criptográficos y migrar rápidamente a nuevos métodos criptográficos cuando sea necesario. 
• Migración a criptografía post-cuántica; como una necesidad inmediata y urgente, apoya los esfuerzos de tu organización para abandonar la criptografía de clave pública vulnerable.
• Reducción de costos y evaluaciones de seguridad; reduce costes asegurando que se usen las certificaciones adecuadas según la política. Además, mejora los aspectos públicos de la postura de seguridad de la organización, lo que puede conllevar una reducción en el costo del seguro de ciberseguridad.

En cuanto a las necesidades operativas, serán menos requisitos, pero requieren una ejecución impecable porque los errores pueden generar caídas de servicio:

• Automatización: comunícate con las autoridades de certificación (CA) aprobadas para emitir certificados y luego despliega, rota y revoca certificados según sea necesario.
• Disponibilidad e interoperabilidad; asegúrate de que los certificados sean adecuados para las audiencias previstas y cumplan los requisitos de interoperabilidad, rendimiento y resistencia.
• Prevención de caídas y disponibilidad: minimiza interrupciones monitorizando los certificados desplegados para detectar vencimientos, revocaciones inesperadas y otros problemas de disponibilidad.

Dadas las complejidades de la PKI, no es sorprendente que exista una variedad de herramientas CLM y PKI, cada una diseñada para satisfacer un caso de uso particular, y ninguna herramienta puede hacerlo todo. La funcionalidad suele estar en una de las siguientes categorías:

• Automatización simple de emisión; herramientas que automatizan la emisión y renovación, generalmente ejecutándose directamente en la infraestructura que usa los certificados. Suelen implementarse vía ACME y cada vez más integradas en el software de los servidores.
• Productos de PKI privada; herramientas que crean y gestionan PKI privadas. Pueden ser autogestionadas o gestionadas por terceros, y a menudo las ofrecen grandes proveedores de la nube y CA.
• Descubrimiento y visibilidad; herramientas enfocadas en la construcción de inventarios de certificados y la provisión de visibilidad total de todos los certificados de la organización, incluyendo cómo y dónde se utilizan.
• Automatización del ciclo de vida; herramientas diseñadas para la orquestación avanzada de la emisión de certificados. Normalmente están diseñadas para integrarse con múltiples PKI públicas o privadas. Para admitir estas opciones de administración avanzada, suelen tener plugins para integrarse con una variedad de plataformas y software de servidor.
• Monitorización de certificados; algunos sistemas de monitorización están incluidos en herramientas principalmente diseñadas para la seguridad y disponibilidad de la red, o gestión de operaciones TI.

Al decidir qué herramientas usar, las organizaciones deben partir de sus objetivos y preguntas, investigar la funcionalidad que ofrecen los distintos proveedores y elegir las que satisfagan sus necesidades.

Con la creciente popularidad de ACME, cada vez hay más herramientas disponibles para soportar la emisión y renovación de certificados. Es cada vez más común ver la funcionalidad cliente ACME integrada en el software de servidor y dispositivos, lo que facilita la gestión de certificados. Si no hoy, pronto la mayoría del software que usa certificados admitirá ACME de serie, permitiendo lograr capacidades básicas de gestión de certificados fácilmente.

Esta automatización simple de la emisión puede ser suficiente, pero no incluye la automatización completa del ciclo de vida. Algunas operaciones, como cambiar la CA emisora o reemplazar certificados antes de su vencimiento, pueden requerir intervención manual.

Los productos CLM que implementan la automatización completa del ciclo de vida pueden proporcionar estas capacidades directamente. Pueden utilizar ACME o sus propios plugins de integración. Por tanto, la elección es si optar por la automatización simple y asumir algunas tareas manuales cuando sean necesarias, o apostar por la automatización total con más trabajo inicial, pero menos esfuerzo manual después. Si se prefiere la automatización completa, es fundamental investigar si el CLM elegido es compatible con las plataformas y el software que utilizas. Recomendamos comenzar por una prueba de concepto representativa antes de comprometerse con un despliegue completo.

Encontrar las herramientas adecuadas para apoyar tu programa de gestión del ciclo de vida de certificados puede ser complicado, porque vienen con distintas funcionalidades y a veces es difícil satisfacer todas las necesidades con la misma herramienta. Al crear tus criterios de evaluación, considera si las herramientas pueden responder las siguientes preguntas:

• ¿Tenemos un inventario de todos nuestros certificados?
• ¿Todos los certificados usan criptografía robusta?
• ¿Qué CA se están utilizando?
• ¿Las CA correctas están siendo usadas en los lugares adecuados?
• ¿Dónde están instalados los certificados en nuestras redes?
• ¿Se han desplegado correctamente y de forma segura los certificados y los protocolos?
• ¿Utilizamos intercambio de claves post-cuántico en propiedades importantes?
• ¿Se emiten y renuevan los certificados automáticamente?
• ¿Podemos rotar los certificados bajo demanda?
• ¿Podemos gestionar una revocación inesperada de certificados?
• ¿Quién está emitiendo nuestros certificados y dónde?
• ¿Qué terceros están emitiendo certificados en nuestro nombre?
• ¿Se han emitido certificados fraudulentos en nuestros nombres?

En la segunda mitad de este documento, ofrecemos una guía paso a paso para un programa de gestión del ciclo de vida de certificados que te permitirá tomar el control de tu patrimonio PKI público. En esencia, toda la problemática de la gestión del ciclo de vida de certificados y la PKI se reduce a tres pasos:

1. Establecer el control de tu patrimonio PKI público
2. Gestión y evolución de los despliegues de PKI privada 
3. Despliegue de uno o varios CLM para la automatización completa del ciclo de vida

Construimos este programa observando que todas las organizaciones participan en la PKI pública, pero pocas tienen suficiente visibilidad y aún menos controlan la emisión de certificados para sus propiedades. Al mismo tiempo, este aspecto puede abordarse por separado y completarse rápidamente en comparación con otras tareas. Al tomar el control de tu PKI pública, adquirirás valiosa experiencia que te ayudará a entender tus necesidades reales y a tomar decisiones informadas sobre PKI privadas y automatización de certificados.

De hecho, la inminente reducción de la vigencia de los certificados a menos de un año prácticamente te obliga a centrarte con urgencia en tus certificados públicos. Con la primera reducción a 200 días a la vuelta de la esquina, en marzo de 2026, debes actuar rápido o enfrentarte a un aumento considerable en el trabajo manual de renovación.

Comienza enumerando tus requisitos y objetivos. No hay dos entornos iguales, y esto es especialmente cierto cuando se trata de PKI. Hemos cubierto una variedad de objetivos comunes en la primera parte de esta guía. Ahora, deberías analizar cada objetivo de la lista y decidir su prioridad. Esto te ayudará a establecer el contexto para guiar tus decisiones más adelante.

Además, las tendencias de la industria y los requisitos regulatorios tendrán un impacto significativo en lo que elijas abordar primero. Revisa el panorama regulatorio para entender las normativas de cumplimiento. La criptografía se ha convertido en una prioridad en los últimos años y ahora está en la agenda de todos. DORA, NIS2, NIST, FIPS, PCI DSS, HIPPA y otros tienen exigentes requisitos sobre cómo se usa la criptografía y cómo se gestiona el ciclo de vida de las claves. El mundo está en transición hacia la criptografía post-cuántica, con mucho trabajo y plazos ajustados; averigua qué debes hacer y para cuándo.

La ventaja de las PKI de Internet es que hacen que sea relativamente fácil conseguir una visibilidad completa de los certificados, en comparación con las PKI privadas. Esto es gracias a Certificate Transparency (CT), un sistema diseñado para recopilar y publicar todos los certificados públicos con fines de auditoría y monitoreo. Técnicamente, CT no es obligatorio, pero como Apple, Google y Microsoft lo requieren para que los certificados sean reconocidos como válidos, prácticamente todos los certificados cumplen.

Con la herramienta correcta, se puede obtener visibilidad total de los certificados públicos prácticamente al instante, extrayéndola de una base de datos completa de todos los certificados públicos válidos mantenida por los proveedores de herramientas. Partiendo de una lista de dominios propiedad de la organización, el descubrimiento por CT tamizará entre miles de millones de certificados para encontrar aquellos que correspondan directamente a los dominios proporcionados y cualquier subdominio. Red Sift Certificates es nuestro producto que hace esto.

La facilidad de uso de Certificate Transparency suele descubrir otro problema: las organizaciones a menudo no tienen listados completos de sus nombres de dominio. En muchas organizaciones con las que hemos trabajado, estas listas se compilan a demanda, lo que requiere un esfuerzo y tiempo considerables.

Para contrarrestar este problema, las herramientas CLM pueden complementarse con otras diseñadas para descubrir la infraestructura de la organización. Esta capacidad de descubrimiento suele llamarse Attack Surface Monitoring o ASM. Partiendo de una lista limitada de dominios proporcionados por el cliente, y usando bases de datos construidas a partir del monitoreo de toda la infraestructura mundial, los productos de esta categoría descubrirán y mantendrán una lista actualizada de los recursos del cliente. La integración con fuentes de información autorizadas, como registradores de dominio, proveedores DNS y CA, garantiza el acceso a inventarios completos de nombres de dominio. Hemos incorporado el descubrimiento automatizado de infraestructura en Red Sift Certificates para facilitar su uso.

Resultados deseados:

• Lista completa de dominios registrables propiedad de la organización
• Sincronización automática de nombres de dominio desde fuentes autorizadas
• Enumeración continua de todos los subdominios
• Descubrimiento continuo de nuevos dominios registrables
• Lista integral de certificados públicos emitidos
• Informes sobre las CA emisoras y problemas de certificados

Tener un inventario completo de certificados es un buen comienzo, pero el verdadero beneficio viene de saber cómo y dónde se utilizan. Este paso requiere monitoreo de red activo para determinar la ubicación instalada y otra información sobre cada certificado.

• Monitorización de dominios y subdominios: a partir del inventario de dominios, una herramienta de monitoreo identifica y escanea continuamente todas las direcciones IP relevantes para los nombres dados. Este tipo de monitoreo se encarga automáticamente de todos los servicios públicos.
• Reconfiguración del firewall: algunos servicios pueden estar en infraestructura enrutada públicamente pero sin acceso abierto. Permitir el acceso a la herramienta de monitoreo en el firewall dará mayor visibilidad con poco esfuerzo.
• Monitorización de rangos de red estáticos: escanear los rangos de red conocidos por ser de uso exclusivo de la organización ayuda a descubrir dominios que se han escapado o identificar servicios ejecutándose en direcciones IP simples. Lo ideal sería implementar esto mediante escaneo gestionado (sin agentes), para no añadir carga de trabajo.
• Monitorización de redes privadas: muchas organizaciones tienen infraestructura fuera de las redes públicas. La única opción, en este caso, es usar agentes con acceso a las redes privadas. Suele ser el aspecto más laborioso, ya que requiere instalar un agente por entorno.

Resultados deseados:

• Descubrimiento de todos los despliegues de certificados
• Enumeración de terceros conectados y su postura de seguridad
• Identificación de certificados de primer y tercer nivel en riesgo de expirar
• Identificación de certificados mal configurados
• Enumeración de servicios, protocolos y configuración criptográfica disponibles
• Informes sobre la cobertura de migración post-cuántica
• Informes sobre la cobertura de despliegue de automatización
• Informes sobre el uso compartido de certificados entre servicios

En este punto, deberías tener visibilidad total de todos tus certificados, así como sus ubicaciones instaladas y otra información relacionada. A diferencia de los tres primeros pasos, que siempre tienen más sentido en ese orden, aquí trabajarás de manera más orgánica. Por ejemplo, puedes identificar de inmediato problemas críticos, ya sea por certificados caducados o cómo están configurados y utilizados. La presencia o ausencia de intercambio de claves post-cuánticas es un aspecto que podrías querer revisar enseguida (lo analizamos más adelante en esta guía). Tiene sentido ocuparse de estos problemas primero, ya que el resto del trabajo suele requerir colaboración entre departamentos y llevará más tiempo.

El objetivo principal de este paso es dividir tu patrimonio PKI en grupos que tengan sentido para tu entorno, normalmente con base en unidades de negocio, importancia y tipo de datos que contienen. Comprender la infraestructura al nivel suficiente para hacer esta clasificación puede requerir mucha comunicación interna.

El siguiente paso es identificar los equipos responsables de cada grupo. Este paso es fundamental porque asegura que cualquier problema detectado sea dirigido al personal adecuado para resolverlo. Mientras haces esto, identificarás a terceros necesarios para la prestación de servicios. Según la naturaleza de la relación, puede que puedas o no tratarlos como uno de los equipos.

Una vez definidos los grupos y equipos, activar las alertas debería ser solo cuestión de pulsar un interruptor. Después de este paso, esperamos que nunca vuelvas a ver un certificado vencido.

Este paso es la base de todo el trabajo futuro, así que tómate el tiempo de identificar a todos los interesados y haz que participen en el programa. Además, considera si conviene conectar tus herramientas PKI a otras herramientas para que la información sobre certificados esté disponible donde se necesita.

Resultados deseados:

• Identificación de propiedades prioritarias que requieren acción urgente
• Definición de unidades de negocio y equipos
• Agrupamiento de propiedades según prioridad y propiedad
• Alerta configurada, canalizada a los propietarios apropiados para prevenir futuras caídas
• Identificación de servicios de terceros, integrados o entregados en tus dominios
• Integración de alertas con sistemas externos mediante API

En 2025, la automatización está en mente de todos, porque los certificados que siguen renovándose manualmente—actualmente anualmente—tendrán que renovarse dos veces al año después de marzo de 2026. Esto se debe a que en ese hito los certificados tendrán una vigencia máxima de 200 días. Las reducciones continuarán: a 100 días en marzo de 2027 y a sólo 47 días en marzo de 2029. Es probable que debas actuar rápidamente para identificar lo que aún no está automatizado, y asegurar que toda la organización actúe para eliminar las renovaciones manuales.

El soporte para la automatización mediante el protocolo Automatic Certificate Management Environment (ACME) crece cada día y pronto será la opción predeterminada para todos los certificados. La ventaja de ACME es que es genérico, permitiéndote cambiar a cualquier CA que lo soporte. Las CLM de ciclo completo pueden ofrecer integraciones personalizadas de mayor capacidad, pero te atan al proveedor. Elegir ACME es lo más seguro y siempre puedes pasar a una CLM propietaria después, posiblemente sólo para tus propiedades de más valor donde necesitas capacidades adicionales.

Deberás decidir qué CA usar, lo cual depende de tus circunstancias. Para PKI públicas, las CA gratuitas probablemente te ofrecen mejor valor porque entregan el mismo producto esencialmente sin coste. De hecho, aunque gratuita, Let's Encrypt suele ser quien primero introduce nuevas funcionalidades y capacidades de seguridad. Es distinto en PKI privadas, donde puedes requerir más soporte, herramientas y servicios profesionales.

Resultados deseados:

• Ruta clara hacia la automatización
• Enumeración de todos los entornos que necesitan certificados
• Documentación práctica para soportar la automatización en cada entorno
• Decisión sobre cuándo usar ACME frente a integraciones propietarias de CLM
• Lista reducida de CA de confianza recomendadas

La ventaja de las principales PKI públicas es que tienen un mecanismo incorporado para el monitoreo y la auditoría de actividades, mediante Certificate Transparency (CT). Ya habíamos encontrado CT en el primer paso, donde fue crucial para nuestra capacidad de descubrir rápidamente todos los certificados pertenecientes a tu patrimonio PKI. En ese caso, nuestro objetivo era encontrar todos tus certificados no caducados. Pero el mismo sistema puede usarse para descubrir tus nuevos certificados en tiempo real, conforme se crean y registran en los logs públicos de CT. Esto es importante no solo porque deseas ver los certificados lo antes posible, sino también para detectar emisiones no autorizadas.

En la PKI pública, los propietarios de los dominios no tienen control técnico sobre la emisión. Al final, cualquier CA autorizada para emitir certificados públicos puede hacerlo para cualquier dominio del mundo, sin requerir el consentimiento del propietario. Por eso es fundamental contar con un buen monitoreo para poder detectar actividades fraudulentas. 

Otro aspecto de CT es que te ayuda a entender tu infraestructura. Cuando se emite un certificado, contiene uno o más dominios para los que es válido. Esto establece un mecanismo muy eficaz de descubrimiento: puedes encontrar nuevos subdominios tan pronto como se observa su certificado asociado.

Los certificados públicos se registran en logs CT, que están disponibles para cualquiera. Con una buena herramienta, inspeccionar lo que se ha registrado en los logs es fácil, especialmente si la herramienta también soporta automatización para ayudarte a entender grandes volúmenes de certificados y su uso. Si lo deseas, también puedes buscar herramientas de código abierto que te permitan consumir esta información directamente.

Recibir un correo cada vez que se emite un nuevo certificado puede ser emocionate al principio, pero esa sensación se va rápido. Peor aún, ¿qué deberías hacer con esa información? ¿Y cómo distingues tus certificados de una emisión fraudulenta? Esa es una tarea perfecta para una automatización competente.

Las herramientas de monitoreo CT suelen centrarse sólo en detectar certificados emitidos para dominios conocidos, pero el monitoreo PKI público puede ampliarse para vigilar todos los certificados en busca de actividad fraudulenta. Esto permite por ejemplo detectar certificados emitidos en dominios desconocidos, pero diseñados para parecerse a los tuyos, normalmente como un precursor de ataques de phishing. Detectar esta clase de atacante suele implementarse en otro tipo de herramienta llamada protección de reputación de dominio y marca. Red Sift's Brand Trust es una de esas herramientas.

Resultados deseados:

• Monitorización en tiempo real de certificados recién emitidos
• Gestión automatizada de emisiones rutinarias para eliminar ruido
• Identificación de emisiones inusuales que requieren atención
• Identificación de emisiones de suplantación en toda la PKI pública

Una de las particularidades de la PKI pública es que la emisión no se autentica de la forma tradicional. Para facilitar el uso, cualquiera puede obtener un certificado demostrando control sobre el aspecto de la infraestructura de Internet que desea certificar. Aunque esto funciona como se espera casi siempre, también permite la emisión de certificados cuando la infraestructura está mal configurada. Por ejemplo, un problema llamado Dangling DNS ocurre cuando un dominio apunta a una dirección IP que ya no controla el propietario. Esto puede suceder, por ejemplo, si destruyes un servidor en la nube pero olvidas reconfigurar el dominio asignado a él. Ahora, otra persona podría recibir esa dirección IP y conseguir un certificado para tu dominio.

Un estándar relativamente nuevo llamado Certification Authority Authorization (CAA) está ganando impulso para introducir algo de orden y control sobre la emisión de certificados. CAA permite a los propietarios de dominios publicar políticas de emisión que todas las CA deben respetar. Tampoco es autenticación estricta en el sentido de que el control final sigue estando en las CA, pero es lo más cerca que podemos estar de una seguridad fuerte con la PKI pública tal como es.

Las políticas CAA se configuran como registros DNS en los dominios que deseas controlar. En su forma más simple, permiten seleccionar una o más CA de confianza, prohibiendo implícitamente que el resto de las CA públicas emitan certificados. Puedes controlar la emisión de certificados regulares, wildcard, S/MIME, BIMI y posiblemente otros tipos en el futuro. Si se permite solo una CA, se puede añadir una configuración personalizada adicional para incrementar la seguridad.

CAA puede usarse de muchas formas, pero a alto nivel considera: 1) por defecto, sin CAA, cualquier CA puede emitir para tus propiedades; 2) una política CAA amplia, con varias CA autorizadas, es fácil de desplegar y reduce significativamente la superficie de ataque; y 3) una política CAA estricta y a medida para conseguir la máxima seguridad donde lo necesites. 

NOTA: En junio de 2025, el CA/Browser Forum votó hacer obligatorio el chequeo DNSSEC para todas las operaciones DNS relacionadas con la emisión de certificados, e incluye la validación CAA. Desde marzo de 2026, tener DNSSEC asegurará que tus políticas CAA puedan validarse criptográficamente, reduciendo la probabilidad de ataques exitosos por parte de quienes intentan subvertirlas.

La monitorización CT, que cubrimos en el paso anterior, funciona mejor con políticas CAA completas; juntas, ambas estrategias pueden ser muy efectivas para filtrar todo lo que no corresponda a una emisión confirmada.

Resultados deseados:

• Decisión sobre una lista pequeña de CA competentes/de confianza menos propensas a cometer errores o ser comprometidas
• Despliegue de configuración CAA amplia por defecto en todos los dominios
• Despliegue de una política CAA de negación total en dominios aparcados
• Diseño y despliegue de una configuración CAA estricta en propiedades de alto valor
• Despliegue de monitorización CT avanzada integrada con tu configuración CAA

El mundo está en medio de una transición a la criptografía post-cuántica, buscando protección contra computadoras cuánticas relevantes para la criptografía (CRQC), que se cree pueden romper los algoritmos de clave pública que se usan hoy. Dependiendo del contexto, la transición puede requerir cinco años para las propiedades más importantes, o diez para el resto. No sabemos cuándo llegará el Q-Day, como a veces se lo llama, pero esperamos que no ocurra antes de que logremos migrar de forma segura.

Respecto a tu PKI pública, sólo hay una acción inmediata: mejorar la cobertura del intercambio de claves post-cuántico en tus propiedades. Aunque no creemos que nadie tenga ahora acceso a un CRQC, existe un ataque llamado "Almacena ahora, descifra después" (o "Harvest Now, Decrypt Later"), donde el tráfico cifrado se captura hoy para ser descifrado en el futuro cuando existan CRQC. Según tu perfil de amenazas, esto podría requerir acción inmediata. Si necesitas que cierta información siga siendo secreta dentro de una década, y llega un CRQC en el futuro próximo, puede que ya sea demasiado tarde.

Hemos preparado una guía detallada aparte para ayudarte en la transición hacia la criptografía post-cuántica.

Resultados deseados:

• Acción inmediata para desplegar intercambio de claves post-cuántico en propiedades de alto valor
• Ruta clara para el resto de tu patrimonio

El último paso en tu viaje hacia la gestión de tu patrimonio PKI público se centra en una amplia gama de cuestiones de configuración que pueden debilitar tu seguridad. Si fallas aquí, podrías tener los certificados completamente bajo control, pero ¿de qué sirve si no se utilizan bien? Considera las siguientes áreas:

• Algoritmo y fortaleza de clave pública: garantiza que tus certificados usen algoritmos y fortalezas de clave pública adecuados para su propósito. En la PKI pública, las CA rechazarán certificados con claves obviamente débiles, pero aún pueden surgir algunos problemas. Esto será más común en PKI privadas.
• Configuración del protocolo criptográfico: asegúrate de usar sólo protocolos seguros y que su configuración sea adecuada para las audiencias. La configuración no es binaria ya que, a veces, se requieren ciertos compromisos para garantizar la interoperabilidad con agentes antiguos. 
• Corrección de la cadena de certificados: asegúrate de desplegar siempre todos los certificados junto a una cadena íntegra y válida que termine en una raíz reconocida por las audiencias previstas. La raíz no necesariamente debe estar incluida en la configuración. Las cadenas mal configuradas pueden inutilizar un certificado y a menudo son difíciles de diagnosticar.
• HTTP Strict Transport Security: despliega y precarga HTTP Strict Transport Security (HSTS) en todos los dominios para asegurar que no se puedan omitir advertencias de certificados inválidos y que todo el tráfico en texto plano se actualice a encriptado automáticamente. HSTS es necesario para prevenir que usuarios ignoren advertencias cuando están bajo ataque en la red.
• Cookies HTTP seguras: asegúrate de que las cookies HTTP estén marcadas como seguras e implementa Prefijos de Nombre de Cookie (RFC 6265bis) para abordar debilidades históricas en el manejo de cookies en navegadores. La falta de estas funciones en un sitio por lo demás seguro puede permitir el secuestro de sesiones HTTP.
• Contenido mixto HTTP: asegúrate de que, además de entregar el contenido principal cifrado, todos los recursos embebidos y enlaces externos sean también seguros.
• Política CAA: ya tratada en un paso anterior y listada aquí para completar; cada propiedad debe tener la política CAA adecuada que restrinja la emisión.

Apóyate en tus herramientas PKI para determinar cuáles de tus sitios presentan estos problemas. No todas las herramientas soportan todos estos estándares. La mayoría de los CLM ayudan con PKI y TLS, pero no con la seguridad de la configuración en la última milla. Nosotros soportamos todo esto en los productos Red Sift. Si tu herramienta actual no lo hace, considera usar nuestra herramienta gratuita en hardenize.com para abordar brechas restantes. Nuestra prueba gratuita puede ser útil si necesitas colaborar con terceros que quizá no tengan acceso a las mismas herramientas.

Para más información, lee nuestra guía completa de configuración SSL/TLS y PKI, que cubre en detalle estos temas y mucho más.

Resultados deseados:

• Guía de mejores prácticas para criptografía
• Nuevos sistemas desplegados conforme a las mejores prácticas
• Plan para adaptar propiedades existentes a las mejores prácticas
• Plan de gobernanza para una evaluación y evolución continua de políticas