Las Autoridades de Certificación (CA) han sido una base de seguridad en línea durante las últimas dos décadas, y los certificados digitales siguen siendo un método confiable para garantizar que las transacciones y las identidades sean seguras. En un nivel fundamental, los certificados firmados por CA son herramientas valiosas que autentican identidades en línea; permitir la comunicación segura y encriptada a través de redes que de otro modo serían inseguras y confirme la integridad de los documentos firmados verificando que no hayan sido alterados por un tercero.
Pero el valor de las AC se extiende más allá de su utilidad práctica inmediata. Lo que es un proceso de verificación muy simple para el usuario se basa en una red de trabajo y una cadena de confianza que va más allá de una simple verificación de hechos.
¿Qué hacen las AC?
Los proveedores de navegadores y sistemas operativos confían en las CA públicas (como SSL.com) para verificar:
- Control de nombres de dominio.
- La legitimidad de las organizaciones y sus agentes.
- Información de contacto como direcciones de correo electrónico
Las CA emiten muchos tipos de certificados, todos basados en X.509 estándar. Los certificados emitidos por CA garantizan que las transacciones del sitio web sean seguras, protejan contra malware y autentiquen documentos e intercambios de correo electrónico. El establecimiento de identidades en Internet se realiza a través de una variedad de procesos, procedimientos y protocolos, todo asegurado por las CA. Por ejemplo:
- SSL /TLS proporciona un medio confiable y encriptado para acceder a la World Wide Web a través de navegadores, que protege la información personal y las transacciones.
- Firmas digitales proporcionar documentos digitales autenticados.
- Firma de código permite la distribución segura de software en Internet.
- S/MIME permite correo electrónico autenticado y encriptado.
- Autenticación del cliente Los certificados protegen el acceso a las computadoras y aplicaciones.
Todo esto se realiza a través de certificados que están anclados al certificado raíz de una entidad emisora de certificados pública y se vinculan entre sí mediante uncadena de confianza"
¿Por qué es tan difícil ser una CA de confianza pública?
Como se describió anteriormente, los sistemas operativos y otro software confían en las CA para verificar las identidades de sitios web, empresas e individuos. Una vez que se establece una CA pública y se gana la confianza de los proveedores de software y otros jugadores, sus certificados digitales son una forma instantánea, segura y confiable de asegurarse de que la información no sea fraudulenta. El proceso para hacer una CA raíz autofirmada es relativamente simple: honestamente, podrían ser creadas por cualquier persona con un software ampliamente disponible, de bajo costo o sin costo. Sin embargo, realmente no hay muchas autoridades de certificación públicas. De hecho, actualmente solo hay 52 miembros de CA del CA / Browser Forum, y la gran mayoría de SSL /TLS los certificados provienen de un número menor que ese. Entonces, ¿por qué no todos los hacen?
La razón por la cual las autoridades públicas de certificación son un club tan exclusivo es que convertirse en una AC pública y ganar y mantener la confianza universal para mantenerlo funcional es mucho trabajo. La inclusión en todos los navegadores y sistemas operativos es perfecta para el usuario, pero requiere años de trabajo detrás de escena. Cuando compra una computadora nueva o instala un software como un navegador web o un cliente de correo electrónico, ya se incluye una lista de certificados de CA raíz de confianza. Pero ser agregado a esa lista no es algo que solo sucede de la noche a la mañana, y permanecer allí también es un desafío.
Para mantenerse en el negocio de la venta de certificados, una CA debe cumplir con los requisitos de los proveedores de software, que intentan garantizar una experiencia segura y confiable para sus usuarios. Cada proveedor importante de navegadores y sistemas operativos tiene su propio conjunto de criterios que las CA deben cumplir y seguir el ritmo cuando se realizan cambios. El costo de no hacerlo es alto: si una CA no está incluida en ninguno de los programas raíz, ya sea debido a una violación de la confianza o debido a una falla en mantenerse al día con los cambios en las políticas, significaría un desastre para el Todo el negocio. Ninguna empresa está buscando un certificado SSL de sitio web que funcione con Safari, pero no con Chrome. Pocos productores de software desearían un certificado de firma de código en el que Windows no confíe.
Además de mantener este delicado equilibrio con los navegadores, los sistemas operativos y otros proveedores de software, las Autoridades de certificación están sujetas a rigurosas auditorías externas. ¿Ves esas insignias en la parte inferior de este mismo sitio? Cada uno de esos sellos representa una auditoría, y cada una de esas auditorías se realiza anualmente. Si alguna CA falla en una auditoría (o no cumple con los requisitos del programa raíz), los certificados de la CA podrían excluirse de los almacenes raíz cruciales, lo que los volvería inútiles.
Los miembros de CA de la CA / Foro del navegador (un consorcio de CA y proveedores de PKIsoftware habilitado como navegadores y sistemas operativos) están activos en el desarrollo y aplicación de docenas de estándares de la industria y en la creación del Foro CA / B Requisitos de referencia. Los miembros participan en organizaciones educativas y de investigación y colaboran con las partes interesadas para fortalecer la seguridad de Internet, a menudo tomando la iniciativa en proponer y adoptar nuevos estándares. Las CA tienen más interés en asegurarse de que SSL /TLS el sistema funciona y su reputación es sólida, lo que necesariamente significa que toman una táctica proactiva y agresiva hacia la seguridad de sus sistemas y de los sistemas con los que trabajan.
Además de cumplir con estas normas, las autoridades de certificación deben mantener y poner a disposición listas de transparencia de certificados (registros públicos de todos los certificados emitidos), así como listas de revocación de certificados (CRL) y respondedores OCSP, que realizan un seguimiento de los certificados revocados. Es de suma importancia asegurarse de que todos los certificados se tengan en cuenta y que la confianza que sustenta los certificados nunca se rompa.
Cómo elegir una CA
Entonces, conociendo todo el trabajo que se requiere para mantener y ejecutar una autoridad de certificación pública, ¿cómo se determina qué CA es la mejor para sus necesidades?
Aunque ahora existen opciones de CA de bajo costo (o incluso gratuitas), es importante saber qué se está negociando por ese costo reducido. En general, las CA gratuitas no ofrecen los mismos niveles de validación que las CA comerciales y no ofrecen nada más que SSL /TLS Certificados. Por ejemplo, pueden demostrar que un solicitante de un sitio web SSL /TLS El certificado controla ese dominio (Validación de dominio) pero no dan el paso adicional de afirmar quién es ese propietario. Dependiendo de su caso de uso previsto, DV puede estar bien (todas las CA comerciales, incluido SSL.com, también lo ofrecen), pero si necesita un certificado de firma de código, firmas digitales para PDF de Adobe o información validada sobre su negocio incluida en su certificado de sitio web, debe ir a una CA comercial.
Para obtener más información sobre cómo elegir una CA confiable, consulte nuestro Guía de mejores prácticas.