Cómo creamos una mejor autoridad de certificación TLS

Ya habíamos presentado en sociedad Certainly, la autoridad de certificación TLS de Fastly que ya está disponible para todos nuestros clientes. La gestión de los certificados puede llevar mucho tiempo, con el consiguiente consumo innecesario de recursos. De la mano de Certainly, Fastly se encarga de la gestión de tus certificados de principio a fin, con tres grandes ventajas: seguridad reforzada con menor riesgo (¡y sin coste adicional!), gestión de certificados simplificada y agilizada, y un servicio y asistencia técnica más fiables. Hoy vamos a analizar más a fondo ciertos detalles técnicos, así como las decisiones que han sentado las bases de nuestra CA.

Instalaciones: una auténtica fortaleza para certificados

Diseñamos nuestras instalaciones para disponer de tres características principales: una arquitectura a medida, redundancia y seguridad de primer nivel.

  • A medida: cada componente de nuestras instalaciones se diseñó expresamente para las operaciones de la CA; desde los materiales de la jaula hasta el acceso al suelo técnico, todo está optimizado para nuestras necesidades particulares.

  • Redundancia: hemos repartido nuestra infraestructura por múltiples ubicaciones, lo cual garantiza una alta disponibilidad junto con resiliencia ante catástrofes que puedan ocurrir en zonas urbanas. Da igual que se trate de un desastre a lo largo de la costa o de un problema muy localizado: nuestra CA seguirá operativa. Este nivel de redundancia abarca todo el stack y se apoya en sistemas de energía, refrigeración y extinción de incendios, infraestructura de redes y almacenamiento de datos.

  • Seguridad: tan importante o más que la seguridad digital es la seguridad física. Nuestras instalaciones son impenetrables gracias a una serie de sistemas de vigilancia, control de accesos y detección de intrusiones. Dado que el control en grupo es un aspecto clave de la integridad de CA, todo acceso físico precisa de la autenticación de varias personas autorizadas. No está permitido que una persona se quede a solas en un entorno confidencial.

Sistemas: automatización y operaciones efímeras

Desde el primer día, nuestros sistemas han estado pensados para la automatización, puesto que los procesos manuales introducen riesgos y queremos reducirlos al mínimo.

  • ACME: como mencionamos en nuestra entrada anterior, los clientes pueden interactuar con Certainly de la mano del protocolo Automated Certificate Management Environment (ACME) según lo especificado en RFC 8555. Así pues, solo admitimos métodos de validación automatizados.

  • Operaciones automatizadas: todo proceso, desde la emisión de certificados hasta el despliegue de código, está automatizado, lo cual aumenta la eficiencia, garantiza la coherencia y reduce los errores. Nuestros sistemas están creados para que funcionen siguiendo prácticas de infraestructura como código y den cabida a pruebas minuciosas y despliegues claros y repetibles.

  • Sistemas efímeros: de acuerdo con las prácticas modernas de seguridad, nuestros sistemas también están diseñados para ser efímeros y poder autodestruirse. A intervalos frecuentes, los sistemas y el almacenamiento se vacían del todo sin dejar rastro. Esta estrategia sin estado reduce drásticamente la posibilidad de que amenazas persistentes logren permanecer en nuestros sistemas, aunque también dan pie a ciertas dificultades que abordaremos en una futura entrada.

Nuestras propias raíces: la ceremonia

La ceremonia de firma de la raíz es un aspecto clave de cualquier CA, dado que es ahí donde se inicia la confianza. Así pues, planificamos y ejecutamos nuestra ceremonia con gran esmero.

  • Componentes de la ceremonia:

    • Secuencias de comandos: la automatización formó parte integral de la ceremonia. Pasamos tareas importantes a formato de comando para asegurar su corrección y eliminar toda clase de errores al reducirse el tecleo manual. Los registros de la ceremonia, firmados mediante criptografía, sirvieron de pruebas fehacientes de la integridad en cada paso del proceso.

    • Portátil endurecido: durante la ceremonia recurrimos a un ordenador portátil de Apple endurecido según nuestros criterios, con una instalación de software segura y de solo lectura. Como parte del riguroso proceso de endurecimiento, retiramos todo el hardware de red por radio para cerrar cualquier vía de interferencia remota.

    • Guiones en papel: documentamos cada paso en papel por motivos de claridad y precisión.

  • Componentes de software:

    • Entorno operativo de la ceremonia: adoptamos COEN, un programa bifurcado de la Internet Assigned Numbers Authority (IANA), como base para nuestra integridad programática. El uso de compilaciones reproducibles garantizó que el software fuese coherente y fiable, mientras que la disponibilidad de una sola imagen independiente reforzó la seguridad y la estabilidad.

    • Herramientas: nuestro conjunto de herramientas incluyó comandos de shell y la herramienta de ceremonias Boulder, en línea con nuestra prioridad, centrada en la automatización y la eliminación de posibles errores humanos.

¿Qué deparará el futuro?

Encaramos el futuro con ilusión por las posibilidades que se perfilan:

  • Validación multiperspectiva: tenemos pensado desplegar la validación multiperspectiva de dominios al edge de Fastly, lo cual mejorará todavía más la fiabilidad de nuestra CA al proteger los protocolos de enrutamiento de internet.

  • Validación de dominios de siguiente nivel: en el marco de nuestro compromiso por mejorar la infraestructura de clave pública de internet, queremos integrar el desafío de tipo dns-account-01 que mencionaba el reciente borrador del IETF. Con este nuevo método, los dominios de nuestros clientes pueden delegar la validación a múltiples servicios usando etiquetas de desafío por cuenta.

  • Validez de certificados variable: basándonos en lo especificado por el protocolo ACME, estamos trabajando para ofrecer periodos variables de validez de certificados. Así, los clientes de Fastly podrán elegir duraciones de certificados incluso más breves que nuestro valor predeterminado, que ya es de tan solo 30 días, y aunar flexibilidad y una mayor seguridad de las conexiones TLS.

Para crear Certainly, hicimos gala de una planificación meticulosa, tecnología punta y compromiso con la seguridad y la fiabilidad. Estamos orgullosos de lo que hemos hecho y queremos seguir compartiéndolo a medida que innovamos y evolucionamos.

Shiloh Heurich
Staff Security Engineer centrado en la criptografía aplicada, la infraestructura de clave pública y la ingeniería de productos de seguridad
Fecha de publicación:

4 min de lectura

¿Hablamos?
Habla con un experto
Comparte esta entrada
Shiloh Heurich
Staff Security Engineer centrado en la criptografía aplicada, la infraestructura de clave pública y la ingeniería de productos de seguridad

Shiloh Heurich cuenta con una variada experiencia en ingeniería criptográfica, identidad digital y arquitectura de seguridad. Antes de entrar en Fastly, Shiloh trabajó en organizaciones como Apple, NASA, Salesforce y Twitter. Shiloh es doble licenciado en Ingeniería e Informática por la Universidad de Maryland.

¿List@ para empezar?

Ponte en contacto o crea una cuenta.

Prueba Fastly gratisHabla con un experto
Fastly
© Fastly 2024