Autoridades de certificación y la cadena de confianza
Lectura de 2 min aprox.
Una autoridad de certificación (CA: Certificate Authority) es un tercero de confianza que emite y gestiona certificados digitales. Emite el certificado SSL/TLS de un sitio web, garantizando que el sitio pertenece a un operador legítimo. El icono de candado que aparece en la barra de direcciones del navegador indica que la seguridad de la comunicación está respaldada por un certificado emitido por una autoridad de certificación. A fecha de 2024, Let's Encrypt gestiona más de 300 millones de certificados activos en todo el mundo, y la tasa de adopción de HTTPS supera el 95%.
Casos de uso reales
«Recibimos una alerta de que el certificado SSL del entorno de producción caducaría la próxima semana. La renovación automática de Let's Encrypt había estado fallando, así que corregimos la configuración de certbot y renovamos el certificado manualmente. En adelante, añadiremos una configuración para enviar una notificación a Slack cuando falle una renovación.»
El flujo de emisión de certificados
Antecedentes históricos
El mecanismo de la autoridad de certificación se estableció a mediados de la década de 1990, cuando Netscape desarrolló SSL. Al principio, un pequeño número de autoridades de certificación comerciales como VeriSign monopolizaban el mercado, y obtener un certificado costaba decenas de miles de yenes al año. Cuando la organización sin fines de lucro ISRG lanzó Let's Encrypt en 2015, se difundieron los certificados DV gratuitos, y la tasa de adopción de HTTPS se disparó desde aproximadamente el 40% en 2015 hasta más del 95% en 2024. En el incidente de DigiNotar de 2011, una autoridad de certificación fue hackeada y se emitieron certificados fraudulentos, lo que dejó al descubierto la vulnerabilidad del propio modelo de confianza de las autoridades de certificación.
La función de una autoridad de certificación
Una autoridad de certificación verifica la identidad del solicitante y emite un certificado digital que vincula una clave pública con la información del propietario. Existen tres niveles de certificados: DV (validación de dominio), OV (validación de organización) y EV (validación extendida); el certificado EV se emite solo tras la revisión más rigurosa.libros sobre PKI y certificados digitales (Amazon) permiten profundizar en el tema.
Relación con las medidas antiphishing
Un malentendido frecuente es pensar que «un sitio es seguro mientras se muestre el icono de candado». En realidad, incluso un sitio de phishing puede obtener fácilmente un certificado DV, por lo que el icono de candado por sí solo no permite determinar si un sitio es seguro. Adquiere el hábito de comprobar con atención el nombre de dominio de la URL al iniciar sesión. Antes de introducir tu contraseña, es importante confirmar que el sitio al que accedes es el legítimo.libros de introducción a la prevención del phishing (Amazon) también son una referencia útil.
¿Te resultó útil este artículo?