Campos de unidad organizativa que deben eliminarse de los certificados SSL

Última actualización por Dionisie Gitlan

Desde la introducción de SSL por Netscape en 1994, los certificados digitales han crecido junto con toda la Web. Mediante pruebas y errores, innovaciones y ajustes, los certificados SSL se han ido perfeccionando constantemente para satisfacer las necesidades de seguridad más rigurosas.

La reducción de la validez de SSL a sólo un año y la supresión de la barra de direcciones verde de los certificados con Extended Validation son sólo algunas de las recientes modificaciones que el Foro CA/Browser ha aplicado para adelantarse a las ciberamenazas y hacer más predecible el cifrado digital. En el mundo de las autoridades de certificación, el cambio es la única constante.

El campo Unidad organizativa (OU ) no es algo que se asocie directamente con la seguridad SSL, sobre todo porque ha formado parte del proceso de solicitud de SSL desde el principio. Pero ahora, el tiempo del campo OU está llegando a su fin, y las CA lo eliminarán a finales de agosto de 2022. Entonces, ¿a qué se debe la eliminación de un campo aparentemente benigno? Para tener una visión completa, averigüemos cuál era el propósito inicial del campo OU.

Los campos de la unidad organizativa: breve descripción

Cada vez que solicite un certificado SSL, deberá generar una solicitud de firma de certificado (CSR ) y rellenar los campos con sus datos de contacto como parte del proceso de validación. El CSR incluye detalles sobre su empresa, país de residencia y el nombre de dominio que desea asegurar. Entre los campos que debe rellenar se encuentra también el de Unidad organizativa. Puede introducir en él prácticamente cualquier dato que desee, y eso es precisamente lo que lo hace impreciso y engañoso.

La intención original del campo OU era servir de marcador de posición en el que las empresas pudieran introducir datos relevantes sobre el certificado y su uso. Una práctica habitual es incluir datos de referencia para la facturación, de modo que el departamento financiero sepa quién compró el certificado.

Si siguieras este ejemplo, escribirías algo como “IT” o “Security” en el campo OU. Pero nada te impide introducir lo que quieras, desde nombres de países hasta personajes de dibujos animados. Si tu empresa tiene su sede en EE.UU., pero una sucursal internacional gestiona los certificados, podrías escribir algo como “Francia” o “ultramar”. Y aquí es donde la ambigüedad del campo OU puede confundir a los usuarios.

Supongamos que uno de los clientes de su empresa es Delta Air Lines. Si lo incluyera en el campo OU, algunos usuarios pensarían que el certificado pertenece a Delta Air Lines en lugar de a su organización. Y aunque esto pueda parecer un ejemplo extremo, la naturaleza opcional del campo OU lo hace propenso a la confusión y a la mala interpretación, cosas inaceptables en la ciberseguridad moderna.

Posibles lagunas de seguridad

Los certificados SSL son ahora un requisito para todo tipo de sitios web. Las empresas despliegan cientos de certificados para satisfacer sus necesidades de seguridad, pero no todas siguen las mejores prácticas de gestión de SSL. Según un informe de Detectify Labs informe hay peligros en el despliegue de estos certificados que “pueden llevar a que los datos de la empresa queden expuestos o comprometidos por agentes malintencionados”.

Detectify ha analizado más de 900 millones de certificados SSL y ha destacado los principales riesgos asociados a SSL. En el contexto del ámbito de la OU, es pertinente la siguiente conclusión:

“Los analistas descubrieron que una abrumadora mayoría de los dominios recién certificados habían recibido nombres descriptivos. Esto puede parecer inofensivo, pero en realidad puede suponer un riesgo para la información empresarial.”

Si el certificado se expide en una fase de desarrollo, los competidores podrían tener tiempo suficiente para socavar las nuevas empresas o productos antes de que lleguen al mercado. Pero incluso si elige cadenas aleatorias en lugar de productos descriptivos, una información aleatoria en el campo OU enviado durante el proceso de pedido podría revelar algunos de sus secretos.

Hora de decir adiós

Dado que las amenazas cibernéticas aumentan día a día, las autoridades de certificación trabajan sin descanso para perfeccionar y reforzar los protocolos de seguridad que rigen los certificados SSL. A medida que los viejos conceptos y elementos se vuelven obsoletos, el enfoque “menos es más” es una forma eficaz de eliminar la confusión y las posibles lagunas que puedan aprovechar los piratas informáticos.

A finales de los noventa y principios de los noventa, sólo había un puñado de CA en el mercado, y el número de empresas que solicitaban SSL era significativamente menor. La intención original era que las pocas CA existentes fueran comprobadas manualmente por los navegadores, lo que redundaría en una mayor confianza en que las CA lo hacían todo de la forma más segura posible. Pero con el auge de los certificados SSL, esta tarea se ha vuelto cada vez más difícil.

La cuestión con el campo OU es que las autoridades de certificación deben verificar y afirmar la identidad del sujeto del certificado dentro del nombre del sujeto del certificado. Por otra parte, el campo OU no es una descripción exacta, aunque es una parte más pequeña de la organización. Las CA no disponen de métodos para verificar sistemáticamente la parte más pequeña de la organización y afirmar su identidad.

La vida después de la retirada del campo de la OU

Entonces, ¿cómo afectará a las empresas la supresión del campo OU? Esto es todo lo que necesitas saber sobre el próximo cambio:

  • Para cumplir las normas del sector, las autoridades de certificación eliminarán el campo Unidad organizativa (OU) de todos los certificados SSL públicos a finales de agosto de 2022.
  • Este cambio no afectará a los certificados emitidos anteriormente con un campo OU válido.
  • Esto no afecta a los certificados SSL privados ni a otros tipos de certificados no SSL.

Conclusión

La tecnología web evoluciona a un ritmo vertiginoso y, junto con ella, las ciberamenazas son cada vez más sofisticadas. En materia de cifrado web, los organismos reguladores deben ser proactivos y anticiparse a las vulnerabilidades de los sistemas que regulan.

El campo Unidad organizativa no es una parte crítica del proceso general de pedido de SSL y, como tal, se convierte en una amenaza potencial. Eliminarlo es una forma sencilla de evitar confusiones y mejorar el tiempo de validación.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

¡Ahorra un 10% ahora!
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Entradas relacionadas
PCI DSS 3.2: Debe dejar de utilizar SSL 3.0 y TLS 1.0
Validez de SSL limitada a 39 meses a partir de abril de 2015
¿Cuáles son las novedades más recientes en el sector de los certificados SSL?
Google introduce un panel de seguridad en DevTools
La validez del SSL se limitará a 2 años a partir de marzo de 2018