Los certificados raíz son uno de los pilares de la seguridad en Internet. Son la base para validar la identidad de los sitios web a través de SSL/TLS certificados, proporcionar firmas digitales y más. Pero, ¿cómo funcionan exactamente y por qué son tan importantes? Este artículo le explicará todo lo que necesita saber sobre los certificados raíz.
¿Qué es un certificado raíz?
Un certificado raíz es un certificado digital especial emitido y firmado digitalmente por una autoridad de certificación (CA) como SSL.com. Representa el nivel superior de confianza en una jerarquía de certificados. Los certificados raíz a veces se denominan anclas de confianza porque son la fuente de verificación definitiva para los certificados emitidos.
Cuando una CA emite un certificado a una entidad, como un sitio web, debe validarse mediante su seguimiento hasta una raíz de confianza. El certificado raíz contiene la clave pública necesaria para verificar esa cadena de confianza. Los certificados raíz suelen estar autofirmados, lo que significa que su firma se genera con la clave privada del propio certificado.
Todos los principales navegadores web y sistemas operativos vienen con un conjunto preinstalado de certificados raíz confiables de las principales autoridades de certificación. Esto les permite verificar automáticamente los certificados SSL/TLS certificados utilizados para proteger e identificar servidores web, tras lo cual el navegador muestra que el certificado es confiable y que el servidor web está protegido. De manera similar, Adobe mantiene un almacén de confianza de raíces que son confiables para firmas digitales y Microsoft mantiene un almacén de confianza de raíces que son confiables para firmas de código.
Jerarquía de confianza
Las CA raíz se encuentran en la parte superior de una jerarquía de certificación que se extiende hasta los certificados intermedios y los certificados de entidad final:
- Los certificados raíz, como el de SSL.com (raíz autofirmada), representan la máxima confianza.
- Certificados intermedios: firmados por la CA raíz.
- Certificados de entidad final: emitidos a usuarios y servidores, firmados por intermediarios
Al separar las funciones, las CA intermedias, también conocidas como “CA emisoras”, pueden emitir certificados diariamente sin acceder a las claves raíz altamente protegidas. Las claves raíz se pueden mantener fuera de línea y solo se utilizan ocasionalmente para generar CA intermedias y otros certificados especiales, como sellos de tiempo o listas de revocación de certificados (CRL).
Cuando una autoridad intermedia emite un certificado digital, este contiene la firma de la CA emisora y una cadena de certificados que enlaza con la raíz. Esta cadena se sigue para verificar el certificado final.
Importancia y función de los certificados raíz
Los certificados raíz cumplen varias funciones cruciales:
- Ancla de confianza: son el ancla de confianza que establece una cadena de confianza. Todos los certificados emitidos por la PKI Se puede validar rastreando hasta la raíz.
- Navegación web segura: permite conexiones HTTPS seguras. Los navegadores verifican los certificados de los sitios web encadenándolos a una raíz de confianza.
- Verificar software: se utiliza para autenticar software firmado digitalmente, como actualizaciones del sistema operativo, aplicaciones, utilidades, etc. Las firmas se verifican con la raíz.
- Cifrar la comunicación: permite la transferencia segura de correo electrónico y datos al habilitar el cifrado junto con la firma de la raíz.
- Sin los certificados raíz, no habría ningún mecanismo centralizado para establecer la confianza en los certificados y las claves públicas. Estos proporcionan la fuente de confianza autorizada que sustenta la criptografía de clave pública.
Principales autoridades de certificación raíz
Existen alrededor de 60 autoridades que operan programas de certificados raíz de confianza pública. SSL.com es un ejemplo destacado, ya que actúa como CA raíz. Utilizamos procedimientos de validación exhaustivos antes de emitir certificados CA intermedios a los propietarios de dominios que necesitan certificados SSL. Nuestras claves raíz están protegidas por hardware y software en instalaciones seguras.
Las principales organizaciones como Microsoft, Apple, Mozilla y Oracle deciden en qué CA raíz confiarán de forma predeterminada en su software. De manera similar, Adobe tiene un almacén de confianza de raíces en las que se confía para emitir certificados de firma de documentos cuyas firmas son reconocidas como válidas por los lectores de Adobe. Además de su software de navegador, Microsoft también mantiene un almacén de confianza de raíces cuyos certificados de firma de código son confiables. Una CA como SSL.com debe cumplir con requisitos estrictos para convertirse en una Autoridad de Certificación de Confianza Pública integrada en almacenes de raíces. Al actuar como CA raíz, podemos emitir certificados confiables sin depender de una autoridad raíz externa. Nuestro certificado raíz sirve como ancla de confianza para nuestra jerarquía.
Navegadores y certificados raíz
Los navegadores web vienen precargados con un almacén de confianza que contiene más de 100 certificados raíz de confianza de las principales CA. Esto les permite validar SSL/TLS certificados utilizados para sitios web HTTPS sin problemas.
Cuando visita un sitio web protegido con SSL/TLS, el navegador:
- Recibir el certificado del sitio web y la cadena de certificados intermedios.
- Validar la cadena de confianza hasta un certificado raíz confiable integrado.
- Verifique que el nombre de dominio coincida con el certificado del sitio web.
- Muestra el icono de candado seguro y permite una conexión encriptada.
Advertirá al usuario si el navegador encuentra un certificado no válido, una raíz no confiable o un nombre de dominio que no coincide.
Los navegadores también cuentan con herramientas de administración de certificados para visualizar las CA raíz y tomar decisiones de confianza. Chrome, Firefox, Edge y Safari permiten a los usuarios ver, exportar o deshabilitar certificados raíz.
Instalación y gestión de certificados raíz
Aunque los sistemas operativos y los navegadores vienen con raíces preinstaladas, es posible que necesite instalar certificados raíz adicionales en algunos casos:
- Para confiar la privacidad de su empresa PKI cadena de certificados
- Si utiliza una autoridad de certificación nueva o desconocida
- Al solucionar errores de "certificado no confiable"
Los certificados raíz se pueden instalar globalmente en el nivel del sistema operativo o localmente en el nivel del navegador o la aplicación. En Windows, el Administrador de certificados maneja las raíces de confianza. En Mac, las raíces se encuentran en Keychain Access. En Linux, se encuentran en /etc/ssl. SSL.com ofrece sus certificados raíz e intermedios para descargar en nuestro sitio web.
Al instalar una nueva raíz, es importante verificar que sea válida y provenga de una fuente confiable. Una vez instaladas, las raíces no válidas o comprometidas pueden dejar de ser confiables o eliminarse. Sin embargo, revocar la confianza en una raíz pública importante puede provocar fallas generalizadas en la aplicación.
Caducidad y renovación de certificados raíz
Los certificados raíz tienen una vida útil prolongada de 20 años o más, pero, en última instancia, caducan por razones de seguridad. A medida que las raíces se acercan a su vencimiento, las CA deben implementar nuevas raíces y hacer que los usuarios y el software confíen en las nuevas claves.
Algunos de los impactos de los certificados raíz vencidos, antiguos o no confiables incluyen:
- Advertencias de certificados no válidos en los navegadores
- Cadenas de certificados rotas que provocan errores de conexión
- El software no puede validar las comprobaciones de firma
Las mejores prácticas para gestionar la expiración de la raíz incluyen:
- Renovación de claves raíz en un período de tiempo prolongado con superposición
- Utilizando raíces paralelas y periodos de validez superpuestos
- Obtener nuevas raíces distribuidas en actualizaciones de software del cliente
- Revocar o eliminar raíces antiguas una vez completada la transición
La gestión adecuada del ciclo de vida del certificado raíz es fundamental para evitar interrupciones en la comunicación confiable y la verificación del software.
Protección de las claves del certificado raíz
Debido a su papel fundamental en el establecimiento de la confianza, las claves privadas asociadas a los certificados raíz deben estar extremadamente protegidas. Los estándares de la industria recomiendan:
- Mantener las claves fuera de línea en un almacenamiento seguro como un módulo de seguridad de hardware (HSM)
- Mantener una seguridad física y de software elaborada
- Acceder solo cuando sea necesario, utilizando controles multipartitos
- Administrar claves únicamente dentro de módulos criptográficos seguros
- Eliminar claves privadas por completo cuando ya no son necesarias
Seguir estrictos procedimientos de ceremonia de claves y la separación de funciones para las CA raíz protege la PKI Ancla de confianza a partir del compromiso.