Certificados digitales - Probando identidad en línea
Lectura de 2 min aprox.
Un certificado digital es un documento de identidad electrónico en el que una entidad tercera de confianza (una autoridad de certificación) acredita que el titular de una clave pública es quien dice ser. Es la base del mecanismo mediante el cual los navegadores web verifican la identidad de un servidor durante una conexión HTTPS, y sustenta la infraestructura de confianza de internet, incluida la comunicación SSL/TLS, la firma de correos electrónicos y la firma de código. Como elemento central de la PKI (infraestructura de clave pública), es indispensable para la infraestructura de seguridad moderna.
La estructura del estándar X.509
El estándar de facto para los certificados digitales es el estándar X.509 establecido por la ITU-T. La versión que se usa ampliamente hoy en día es la versión 3, que consta de los siguientes campos.
Entre las extensiones, el SAN (Subject Alternative Name) es especialmente importante, ya que permite que un solo certificado cubra varios nombres de dominio y direcciones IP. Los certificados comodín (*.example.com) también se basan en este mecanismo.
La diferencia entre los certificados DV, OV y EV
| Tipo | Qué se verifica | Tiempo de emisión | Costo | Uso |
|---|---|---|---|---|
| DV (Domain Validation) | Solo la propiedad del dominio | Unos minutos | Gratis - unos miles de yenes | Sitios personales, blogs |
| OV (Organization Validation) | Dominio + existencia de la organización | Unos días | Decenas de miles de yenes / año | Sitios corporativos, API |
| EV (Extended Validation) | Dominio + organización + existencia legal | 1 - 2 semanas | 100 000 yenes o más / año | Instituciones financieras, sitios de comercio electrónico |
Antes los certificados EV mostraban el nombre de la organización en verde en la barra de direcciones del navegador, pero desde 2019, Chrome y Firefox han eliminado esta indicación. Incluso ha habido casos en los que sitios de phishing obtuvieron certificados EV, por lo que la ecuación simplista de «EV = seguro» ya no se sostiene. En la práctica actual, los certificados DV son suficientes en la gran mayoría de los casos.
La expansión del SSL gratuito a través de Let's Encrypt
Let's Encrypt, lanzada en 2015 por el ISRG (Internet Security Research Group), es una autoridad de certificación que emite certificados DV de forma gratuita y automática. Mediante un mecanismo de renovación automática basado en el protocolo ACME, ha reducido enormemente el problema operativo de que los sitios queden inaccesibles por certificados caducados. A fecha de 2024, alrededor del 30 % de todos los sitios HTTPS usan certificados de Let's Encrypt, lo que ha contribuido de forma decisiva a aumentar la tasa de cifrado de la web en su conjunto.
La revocación de certificados - CRL y OCSP
Por la filtración de una clave privada o por cambios en la organización, puede llegar a ser necesario invalidar un certificado antes de su fecha de vencimiento. Hay dos métodos para comprobar la revocación.
- La CA publica periódicamente una lista de certificados revocados
- El cliente descarga la lista completa
- El costo de comunicación crece a medida que la lista se hace enorme
- Existe un retardo en el intervalo de actualización
- Consulta el estado de un certificado individual en tiempo real
- Eficiente, con poco tráfico
- Depende de la disponibilidad del servidor OCSP
- OCSP Stapling mitiga los problemas de rendimiento
Transparencia de certificados (Certificate Transparency)
Certificate Transparency (CT) es un mecanismo propuesto por Google en 2013 que registra todos los certificados emitidos en registros públicos, lo que permite detectar la emisión de certificados fraudulentos. Si una autoridad de certificación emite un certificado fraudulento por error (o de forma malintencionada), la supervisión de los registros CT permite detectarlo a tiempo. Desde 2018, Chrome aplica una política de no confiar en los certificados que no están registrados en los registros CT, lo que lo convierte en un requisito obligatorio de facto. Comprender cómo funciona la criptografía de clave pública hace mucho más claro el proceso de verificación de certificados.
Un error común es creer que «HTTPS = sitio seguro», pero un certificado DV solo prueba la propiedad del dominio. Los sitios de phishing también pueden obtener certificados DV legítimos, por lo que usar HTTPS y ser un sitio fiable son cuestiones distintas.
Los fundamentos del cifrado se explican en detalle en el artículo sobre los fundamentos del cifrado, y la seguridad del navegador en el artículo sobre la seguridad de las contraseñas del navegador. Consulte también las medidas contra el phishing.libros sobre SSL/TLS y certificados (Amazon).
¿Te resultó útil este artículo?