Amazon Web Services ha puesto en marcha el Administrador de Certificados AWS (AWS Certificate Manager), diseñado para proteger y administrar las claves privadas utilizadas con certificados SSL/TLS.

SSL y su sucesor, TLS, son protocolos estándar de la industria para el cifrado de las comunicaciones de red y para establecer la identidad de los sitios web a través de Internet. SSL/TLS proporciona un cifrado para datos sensibles en tránsito y autenticación mediante certificados SSL/TLS para verificar la identidad de un sitio y establecer conexiones seguras entre los navegadores, las aplicaciones y el sitio.

Por lo general se requiere de un proceso manual que consume tiempo para comprar, cargar y renovar dichos certificados. AWS Certificate Manager permite usar un proceso de unos cuantos clics, sin necesidad de generar un par de claves o una solicitud de firma de certificado (CSR), enviar el CSR a una autoridad certificadora o cargar e instalar el certificado una vez recibido. Ya aprobado el certificado, AWS Certificate Manager se encarga de su implementación y se ocupa de todas las renovaciones. Los certificados provistos por el administrador también son gratuitos, dijo Amazon.

AWS Certificate Manager también se integra con otros servicios de AWS, por lo que los usuarios pueden proveer un certificado SSL/TLS y desplegarlo con un Balanceador de Carga Elástico o con Amazon CloudFront.

Mientras AWS Certificate Manager es un paso en la dirección correcta para una web totalmente cifrada, algunos expertos en seguridad advierten no apoyarse completamente en el administrador.

"Con el lanzamiento de Let's Encrypt, nosotros anticipamos que otros seguirán los mismos pasos para ofrecer certificados digitales gratuitos", dijo Kevin Bocek, vicepresidente de estrategia de seguridad y de inteligencia de amenazas en Venafi. "Es por eso que no es sorprendente ver que los Servicios Web de Amazon (AWS) hayan lanzado recientemente su propia oferta de certificados digitales gratuitos".

Bocek advirtió que las empresas necesitan  darse cuenta de los riesgos de utilizar certificados gratuitos. "A los ciberdelincuentes les encanta tomar ventaja de los certificados gratuitos, como hemos visto recientemente con los hackers utilizando certificados de Let’s Encrypt en ataques publicidad maliciosa", dijo. "Esto es otra razón por la que proteger las claves y certificados es mucho más importante que conseguirlos."

Y añadió: "Con las aplicaciones de AWS como balanceo de carga, puedes quedar atrapado para hacer uso únicamente de AWS, ya que mantiene las claves privadas. Debido a esto, hemos advertido a las empresas sobre el uso de AWS y cualquier certificado gratuito si se toma en serio la protección de su propia IP y los datos de sus clientes. Mientras que los certificados de AWS pueden ser buenos para la creación de aplicaciones rápidas, no pueden proporcionar una verdadera seguridad de clase empresarial para los Global 5000. Recuerden mis palabras: es sólo cuestión de tiempo antes de que veamos a los ciberdelincuentes aprovechar estos certificados gratuitos de AWS para ocultarse en el tráfico cifrado, para pasar desapercibidos mientras roban datos confidenciales".

Bocek no está cuestionando únicamente el servicio. High-Tech Bridge advierte que los administradores deben mirar el cifrado de datos de manera integral.

"Es una gran iniciativa, sin embargo no hay que olvidar que un certificado SSL es sólo una pequeña parte del cifrado de datos SSL/TLS", dijo Ilia Kolochenko, CEO de High-Tech Bridge, que ofrece un servicio gratuito de verificación de seguridad SSL/TSL.

"Los conjuntos de cifrado fuertes, protocolos fiables, las últimas versiones de software y configuraciones correctas también son de vital importancia. Hoy en día muchas personas asocian el cifrado SSL/TLS únicamente con https, pero en realidad, hay muchos más protocolos que se basan en el cifrado de datos SSL. Por lo general, las personas olvidan comprobar la seguridad y fiabilidad de los servicios que no son https".