¿Qué es una autoridad de certificación?

Ya sean para la confianza pública o privada, las autoridades de certificación (CA, Certificate Authority) son una pieza fundamental del ecosistema más amplio de ciberseguridad. ¿No sabe qué son o cómo funcionan? No hay problema.

Aquí tiene todo lo que necesita saber sobre las autoridades de certificación, incluso cómo elegir la mejor para sus necesidades empresariales.

Una autoridad de certificación (CA) es una entidad que valida la identidad digital de sitios web, direcciones de correo electrónico, empresas o personas individuales. Para ello, utilizan activos criptográficos denominados certificados digitales que proporcionan una forma de demostrar la autenticidad.

Por ejemplo, los navegadores web trabajan con las CA para autenticar sitios web y garantizar que no sean operados por piratas informáticos o malos actores. Si no existieran las autoridades de certificación, no sería seguro comprar, realizar operaciones bancarias o transmitir información sensible a través de Internet. La “s” del prefijo “https” significa seguro, por lo que sabe que el propietario del sitio web ha sido verificado por una autoridad de certificación.

CA pública frente a CA privada: ¿Cuál es la diferencia?

Las autoridades de certificación pueden ser públicas o privadas. Aunque desempeñan funciones similares, existen importantes diferencias entre ambas categorías:

• CA pública: Este grupo incluye entidades que prestan servicios al público en general. Sus certificados se aceptan en todo el mundo, por lo que son adecuados para proteger sitios web, transacciones en línea y otros casos de uso digital. Hay un número finito de CA públicas disponibles, pero tienen profundas raíces de confianza con los principales proveedores de navegadores web.
• CA privada: Esta categoría incluye autoridades de certificación que son específicas para el uso interno de una empresa. En otras palabras, emiten certificados exclusivamente para fines y casos de uso internos, como redes privadas y VPN, autenticación de usuarios y firma de código. Por extensión, una CA privada solo es “de confianza” para los usuarios dentro de esa organización y rara vez emite certificados a entidades externas. Por eso también se la suele llamar “CA local”.

¿Por qué se consideran fiables las autoridades de certificación?

Una autoridad de certificación pública es una entidad rigurosamente aprobada que deben cumplir los requisitos básicos establecidos por el foro de navegadores/CA. Las autoridades de certificación y los navegadores de Internet han trabajado juntos a fin de desarrollar normas más estrictas y uniformes para la gestión y la emisión de distintos certificados digitales.

Debido a estos requisitos básicos, las CA públicas son mundialmente reconocidas y aceptadas para la mayoría de las aplicaciones. Sin embargo, no pueden admitir casos de uso interno, que es donde entra en juego una CA privada. Cada CA privada tiene una política que dicta para qué sirve y los procesos y controles que utiliza para emitir certificados. A su vez, se consideran de confianza y alta fiabilidad.

En pocas palabras, los certificados digitales son una forma de demostrar la autenticidad de un dispositivo, un servidor web, un usuario o una entidad. Cumplen una función similar a la del carné de conducir o el pasaporte, ya que proporcionan una forma de identificación y verifican determinados permisos. Sin embargo, más que un permiso para conducir o entrar en un país, los certificados digitales cumplen tres funciones principales:

1. Autenticación: Los certificados actúan como credenciales que validan la identidad de cualquier entidad a la que se expiden, por ejemplo, un dominio web o una organización.
2. Cifrado: Protege la comunicación a través de Internet cifrando la información que se envía en línea, como nombres de usuario y contraseñas o correos electrónicos.
3. Firma: Los certificados garantizan que los documentos firmados digitalmente no sean alterados por terceros, manteniendo así su integridad.

Todo ello es posible gracias a la infraestructura de clave pública (PKI). En resumen, la PKI engloba todo el hardware, el software, los procedimientos y las políticas necesarios para generar y almacenar claves criptográficas, los activos que hacen posible el cifrado, el descifrado y la verificación.

¿Cómo funciona la infraestructura de clave pública?

En la PKI, todos los certificados digitales están conectados a un determinado par de claves: una clave pública y una clave privada. Cada uno de estos activos criptográficos es una larga cadena de bits utilizada para cifrar y descifrar datos. Cada certificado es único para una persona o entidad concreta, actuando de forma muy parecida a un pasaporte de identificación.

La clave pública está a libre disposición de cualquiera que la solicite, lo que le permite cifrar información sensible antes de enviarla a la entidad asociada. Sin embargo, ese mensaje solo puede descifrarse con la clave privada, que únicamente conoce el propietario de la clave pública.

Pero, ¿cómo saber si el remitente de una clave pública es quien dice ser? En resumen, ahí es donde entran en juego los certificados. No solo contienen la clave pública, sino también información relacionada con su propietario, la CA emisora, los datos sobre los que se creó y cuándo caducará. Esto ayuda a verificar que la clave pertenece realmente a la entidad reclamada y no a un actor malintencionado.

¿Qué es la gestión de certificados?

La gestión de certificados es el proceso de gestión de certificados digitales a lo largo del ciclo de vida, desde la provisión hasta la renovación y revocación. Sin embargo, la gestión de certificados puede ser un reto para las organizaciones que tienen un número creciente de certificados.

Con el aumento del uso de certificados digitales, los procesos de gestión manual (como las hojas de cálculo) no son sostenibles. Muchas empresas están recurriendo a herramientas de gestión del ciclo de vida que no solo ofrecen visibilidad completa de los inventarios criptográficos y el patrimonio de certificados, sino también una capa de automatización muy necesaria.

Los certificados digitales, como base de la privacidad y la protección, son esenciales para salvaguardar las interacciones en línea. La mayoría de las autoridades de certificación ofrece una gama de tipos de certificados para distintos casos de uso, niveles de seguridad, requisitos de conformidad y otras aplicaciones. Incluyen los siguientes:

Certificados para firmar documentos

Como su nombre indica, un certificado de firma de documentos se utiliza para firmar registros electrónicos. Y lo que es más importante, garantizan la integridad del documento, verificando que su contenido no haya sido manipulado y comprobando la identidad del firmante. Son especialmente útiles para los contratos legales, ya que pueden ayudar a las organizaciones a soportar el no repudio.

Certificados para firmar código

Del mismo modo, un certificado de firma de código permite a los desarrolladores de software firmar digitalmente aplicaciones y programas. Esto garantiza que los usuarios finales puedan verificar que el código que reciben no ha sido alterado ni manipulado, protegiendo a ambas partes contra el fraude, el malware y el robo.

Certificados TLS/SSL

Quizás los dos tipos más comunes de certificados digitales son los certificados TLS y SSL. TLS significa “seguridad de la capa de transporte”, mientras que SSL significa “capa de sockets seguros”. Ambos son protocolos de seguridad en Internet que autentifican la identidad y establecen conexiones cifradas entre navegadores.

Técnicamente, el certificado SSL está obsoleto y el cifrado TLS ha ocupado su lugar. Sin embargo, el nombre “SSL” se sigue utilizando habitualmente para referirse a la seguridad de la capa de transporte. Por eso, lo más frecuente es ver una combinación de ambas siglas: TLS/SSL.

Este tipo de certificado se utiliza normalmente para la autenticación de sitios web, clientes y servidores. Dentro de esta amplia categoría, existen varios tipos específicos de certificados TLS/SSL, entre los que se incluyen los siguientes:

• Certificados de validación extendida (EV): Los certificados SSL de EV proporcionan la más alta fiabilidad de seguridad y el proceso de verificación es el más riguroso. Cuando se implementa en un sitio web, un icono de candado, el nombre de la organización y la designación de la “S” al final de HTTP se hacen visibles para los visitantes. Este tipo de certificado se utiliza generalmente para aplicaciones web que requieren una garantía de identidad para recopilar datos, procesar inicios de sesión o realizar pagos en línea.
• Certificados validados por la organización (OV): Los certificados SSL OV proporcionan garantía de identidad y cifrado y son los más adecuados para cifrar la información del usuario durante las transacciones. La mayoría de los sitios web orientados al consumidor están obligados por ley a implantar certificados SSL con OV para garantizar la confidencialidad de la información comunicada durante una sesión.
• Certificados validados por dominios (DV): Los certificados SSL DV tienen menos requisitos de verificación de identidad que los certificados de EV u OV que solo demuestran el control del dominio. Suelen utilizarse para aplicaciones de bajo riesgo, como blogs, comunidades de usuarios o sitios informativos. Esto hace que los certificados con DV sean menos costosos y más fáciles de obtener.
• Certificados Wildcard SSL: Los certificados Wildcard SSL se verifican hasta el nivel de validación de la organización y son una solución rentable para asegurar un dominio base y cualquier número de subdominios afiliados. Además de los costos más bajos que la compra de varios certificados individuales, ofrecen una mayor simplicidad porque los usuarios no tienen que enviar más de una solicitud de firma de certificados ni gestionar las fechas de caducidad de varios certificados TLS/SSL en numerosas URL.
• Certificados SSL de comunicaciones unificadas (UC): Se verifican según los niveles de validación ampliada o validación de la organización. Una forma eficaz de consolidar varios certificados es aprovechar los nombres alternativos de sujeto (SAN) para ahorrar costes. Los certificados SSL con UC establecen identidades de confianza y eliminan las notificaciones del navegador que advierten a los visitantes de que no deben entrar en su sitio.

Contar con certificados TLS/SSL de confianza de una autoridad de certificación acreditada es extremadamente importante por varias razones:

• Aumento de los requisitos de cumplimiento: El Reglamento General para la Protección de los Datos (GDPR) aplicado en Europa se está adoptando en todo el mundo. Las organizaciones que infrinjan las normas del GDPR se enfrentan a fuertes multas o a la pérdida de ingresos.
• Pérdida de visibilidad en los motores de búsqueda: Los motores de búsqueda están tomando medidas contra los sitios web que suponen una amenaza para la seguridad, implantando indicadores de seguridad negativos y eliminando los sitios de los resultados de los motores de búsqueda.
• Mayor seguridad de los datos: Es fundamental proteger las contraseñas, los números de las tarjetas de crédito, las transacciones financieras y otros datos de gran valor.
• Énfasis en la identidad de confianza: La autoridad certificadora verifica la identidad de las organizaciones, confirma que la empresa tiene control sobre sus dominios y se asegura de que el solicitante del certificado es empleado de la entidad asociada.

El proceso comienza cuando un solicitante genera un par de activos criptográficos, la clave pública y la clave privada, junto con una solicitud de firma de certificado (CSR). En pocas palabras, una CSR es un archivo codificado que incluye la clave pública y otra información pertinente que se incluirá en el certificado.

Puede incluir el nombre de dominio correspondiente, la organización y la información de contacto, pero en última instancia variará en función del nivel de validación y el caso de uso previsto. Sin embargo, la clave privada siempre se mantiene en secreto y nunca debe mostrarse a nadie, incluida la CA.

A continuación, el solicitante envía la solicitud de firma de certificado a la CA emisora. Luego, la organización emisora de la CA verifica de forma independiente que la información contenida en el CSR es correcta. Si es así, firma digitalmente el certificado con su propia clave privada y lo envía de vuelta, añadiendo una capa de confianza en el proceso.

Por último, el certificado digital puede autenticarse utilizando la clave pública, por ejemplo, cuando alguien visita el sitio web del solicitante a través de un navegador web. Además, los navegadores confirman que el contenido del certificado no ha sido alterado o manipulado desde que fue firmado por la CA emisora.

La cadena de confianza es una jerarquía que utilizan los certificados para verificar la validez de la CA emisora. En este modelo, los certificados son emitidos y firmados por otros certificados que existen más arriba en la cadena. Esto permite que cualquiera que quiera verificar la autenticidad de un certificado pueda rastrearlo hasta el certificado original de la CA, conocido como “certificado raíz”.

En general, este proceso es la suma de tres partes:

1. Un anclaje de confianza es la CA de origen. Su certificado raíz suele estar predescargado en la mayoría de los navegadores en un “almacén de confianza”.
2. Al menos un certificado intermedio que se ramifica a partir de los certificados raíz, como un árbol. Proporcionan un amortiguador entre la autoridad de certificación de confianza y la entidad final.
3. El certificado de entidad final valida la identidad de un sitio web, una empresa o una persona. La cadena de confianza garantiza que las CA adhieran a las normas de cumplimiento, especialmente las relacionadas con la seguridad, la privacidad y la escalabilidad.

No todas las CA están diseñadas o son capaces de proteger el caso de uso específico de su organización. Algunas no funcionarán con su infraestructura informática, pero otras pueden no tener los servicios que busca. Estas son algunas de las consideraciones clave que debe tener en cuenta a la hora de seleccionar una autoridad de certificación:

• ¿La CA protege adecuadamente su marca?
• ¿Sigue la CA las mejores prácticas del foro de navegadores de la autoridad de certificación?
• ¿Ofrece la CA políticas flexibles de licencias y precios?
• ¿Puede la CA crecer junto con su organización para satisfacer sus necesidades actuales y futuras?
• ¿Participa activamente la CA en el Consejo de Seguridad de la CA?

Confíenos sus certificados digitales

Hay una razón por la que innumerables organizaciones recurren a Entrust para sus necesidades de certificados públicos y privados. Como autoridad de certificación reconocida en todo el mundo, contamos con décadas de experiencia en la emisión y gestión de certificados. Además, ofrecemos un único panel para gestionar certificados públicos y privados, incluidos los emitidos por otras CA. 

Como miembro fundador del Consejo de Seguridad de la CA y el foro de navegadores/CA, siempre estamos a la vanguardia de las normas del sector. Con una amplia cartera de certificados y soluciones digitales, tiene acceso a una lista cada vez mayor de productos y servicios innovadores.

Con la galardonada plataforma de certificados de Entrust, usted obtiene:

• Asistencia sin parangón
• Compatibilidad de navegador universal
• Reemisiones ilimitadas
• Licencias de servidor ilimitadas con cifrado de 128 a 256 bits