¿Qué es la cadena de confianza de los certificados SSL?
La cadena de confianza SSL garantiza la seguridad en línea al vincular un certificado de entidad final con un CA raíz confiable a través de certificados intermedios. Esta estructura jerárquica permite que los navegadores verifiquen la identidad de los sitios web y habiliten la comunicación cifrada, protegiendo contra certificados expirados o fraudulentos.
Tabla de Contenidos
¿Qué es la cadena de certificados?
Una cadena de certificados sienta las bases para establecer la confianza en la identidad de una entidad en línea y proteger las conexiones a través de Internet. En esta cadena, una serie de certificados digitales siguen a un certificado de entidad final (es decir, un certificado de hoja), cada uno de ellos firmado por la siguiente autoridad de certificación (CA) de la cadena para establecer su autenticidad. Al final de la cadena se encuentra un ancla de confianza, la clave pública de verificación de una CA de confianza.
¿Para qué sirve el encadenamiento de certificados?
El encadenamiento de certificados es esencial para la ciberseguridad. Establece la confianza en las comunicaciones digitales a través de una estructura jerárquica y permite a los usuarios interactuar con entidades en línea con confianza. La autenticación impide que agentes malintencionados se hagan pasar por sitios web legítimos (por ejemplo, en un ataque de phishing), mientras que el cifrado garantiza la transmisión segura de datos.
La confianza establecida a través de la cadena de certificados impide que los delincuentes intercepten información segura, lo que puede dar lugar a filtraciones y robos de datos. La cadena de certificados también ayuda a detener los ataques del hombre en el medio (MITM) al impedir que los piratas informáticos utilicen certificados caducados, revocados o fraudulentos.
Una cadena de certificados permite a los usuarios establecer la confianza con una entidad en línea en diversas transacciones digitales, por ejemplo, para compartir datos personales, introducir credenciales de inicio de sesión o introducir información de pago. También es esencial para que las empresas cumplan diversas normativas sobre privacidad de datos y estándares de seguridad, como la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), el Estándar de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) y el Reglamento General de Protección de Datos (GDPR).
Componentes de una cadena de certificados
La estructura jerárquica de la cadena de certificados crea un modelo en el que la confianza fluye desde arriba (es decir, el certificado raíz) hacia abajo (es decir, el certificado hoja).
- Certificado raíz: Una CA de confianza en la parte superior de la jerarquía de certificados emite y autofirma un certificado raíz como ancla de confianza para establecer la credibilidad en todos los certificados de las CA asociadas.
- Certificado intermedio: Uno o varios certificados intermedios se sitúan entre el certificado raíz y el certificado hoja en una cadena de confianza, cada uno emitido por una CA intermedia certificada por una CA raíz.
- Certificado hoja: Este certificado de entidad final autentica una entidad individual, como un usuario, un dispositivo o un servidor. Hereda la confianza de los certificados de nivel superior de la cadena, verificada mediante firmas digitales.
Las CA raíz son la base de la confianza en la PKI, donde la confianza en el certificado raíz es heredada por toda la cadena. Mientras cada certificado de la cadena sea válido, esté firmado correctamente y pueda ser rastreado hasta una raíz de confianza, el certificado de la hoja se considerará de confianza. Si la clave privada de un anclaje de confianza se ve comprometida, se debe desconfiar inmediatamente de la raíz del software compatible. Se requiere una nueva raíz para permitir la reemisión de todos los certificados intermedios y de hoja emitidos desde esta raíz.
Aunque en teoría un certificado raíz puede firmar un certificado hoja, esta práctica no está permitida en las ICP públicas. Aunque ningún bloqueo técnico impide que un certificado raíz firme un certificado hoja en una PKI privada, se considera una buena práctica utilizar certificados intermedios. De esta forma, si un certificado intermedio se ve comprometido, el impacto se limita a los certificados emitidos bajo él, sin afectar al certificado raíz ni a otros certificados intermedios.
¿Cómo funciona una cadena de certificados?
Veamos una cadena de certificados SSL / TLS como ejemplo. El propietario de un sitio web quiere proteger su servidor con un certificado SSL. En primer lugar, el propietario determina el tipo de certificado SSL/TLS que necesita y obtiene uno de una CA pública. Tras recibir el certificado, el propietario lo instala en el servidor web. Cuando un usuario se conecta con el sitio web, el navegador realiza un proceso de verificación de confianza:
- El navegador comprueba si la CA raíz está presente en su almacén de confianza preinstalado. Si encuentra el certificado raíz, procede a verificar el certificado intermedio. En caso contrario, no establecerá la conexión.
- El navegador comprueba la firma digital del certificado intermedio utilizando la clave pública del certificado raíz. Si la firma es válida, confiará en el certificado.
- Una cadena de certificados puede contener uno o varios certificados intermedios, cada uno de los cuales deriva su confianza de la CA superior. El cliente verifica cada certificado de la cadena, confirmando que el nombre del asunto de un certificado es el nombre del emisor del siguiente.
- A continuación, el navegador verifica la firma digital del certificado del servidor utilizando la clave pública del certificado intermedio. Si la firma es válida, establecerá una conexión segura para el intercambio de datos cifrados. Rechazará la conexión si no puede verificar ningún certificado a lo largo de la ruta.
Mantener la confianza con una cadena de certificados
No es necesario gestionar certificados intermedios y raíz cuando se obtiene un certificado de hoja en una PKI pública. La cadena de confianza de la CA pública se estableció cuando se creó y verificó para emitir el tipo de certificados de hoja que usted adquiere. A continuación le indicamos cómo seleccionar una CA de confianza:
- Busque una CA que utilice certificados raíz de confianza en su cadena de confianza.
- Compre a una CA que publique informes de auditoría y cumpla normas del sector como WebTrust o ETSI.
- Tenga en cuenta si una CA realiza firmas cruzadas de sus certificados con otras CA conocidas.
- Examine el historial y la estabilidad de una CA y utilice una con un largo historial de servicios fiables.
- Busque una CA que ofrezca todos los tipos de certificados que espera utilizar, incluidos SSL, S/MIME, firma de código, firma de documentos y certificados eIDAS.
- Además, la gestión del ciclo de vida de todos los certificados de hoja de su infraestructura es fundamental para garantizar la seguridad continua y evitar cortes, infracciones o interrupciones del servicio. Sin embargo, los procesos manuales ya no son suficientes para gestionar el gran número de certificados que deben gestionar las empresas de hoy en día. Para garantizar que no se pierda nada, necesita una visión general de su inventario y automatizar el proceso de gestión del ciclo de vida de los certificados.
Sectigo Certificate Manager (SCM) es una plataforma agnóstica de CA que le permite gestionar todos sus certificados digitales privados y públicos en un solo lugar. Obtenga más información y pruebe SCM hoy para ver cómo podemos ayudarle a agilizar la gestión de certificados.