¿Qué es una CA?
A autoridad de certificación (CA), también a veces referido como autoridad de certificación, es una empresa u organización que actúa para validar las identidades de las entidades (como sitios web, direcciones de correo electrónico, empresas o personas individuales) y vincularlas a claves criptográficas mediante la emisión de documentos electrónicos conocidos como Certificados digitales.
Un certificado digital proporciona:
Autenticación, al servir como credencial para validar la identidad de la entidad a la que se expide.
Cifrado, para una comunicación segura a través de redes inseguras como Internet.
Integridad de documentos firmado con el certificado para que no puedan ser alterados por un tercero en tránsito.
Por lo general, un solicitante de un certificado digital generará un Par de claves que consiste en una llave privada y Llave pública, Junto con un Solicitud de firma de certificado (CSR). La CSR es un archivo de texto codificado que incluye la clave pública y otra información que se incluirá en el certificado (por ejemplo, nombre de dominio, organización, dirección de correo electrónico, etc.). Par de llaves y CSR la generación generalmente se realiza en el servidor o estación de trabajo donde se instalará el certificado, y el tipo de información incluida en el CSR varía según el nivel de validación y el uso previsto del certificado. A diferencia de la clave pública, la clave privada del solicitante se mantiene segura y nunca debe mostrarse a la CA (ni a nadie más).
Después de generar el CSR, el solicitante lo envía a una CA, que verifica de forma independiente que la información que contiene es correcta y, de ser así, firma digitalmente el certificado con una clave privada de emisión y se lo envía al solicitante.
Cuando el certificado firmado se presenta a un tercero (como cuando esa persona accede al sitio web del titular del certificado), el destinatario puede confirmar criptográficamente la firma digital de la CA a través de la clave pública de la CA. Además, el destinatario puede utilizar el certificado para confirmar que el contenido firmado fue enviado por alguien en posesión de la clave privada correspondiente y que la información no ha sido alterada desde que se firmó. Una parte clave de este aspecto del certificado es algo llamado cadena de confianza.
In SSL /TLS, S/MIME, firma de códigoy otras aplicaciones de Certificados X.509, se utiliza una jerarquía de certificados para verificar la validez del emisor de un certificado. Esta jerarquía se conoce como cadena de confianza. En una cadena de confianza, los certificados son emitidos y firmados por certificados que viven más arriba en la jerarquía.
A cadena de confianza consta de varias partes:
1. Un ancla de confianza, que es la autoridad de certificación (CA) de origen.
2. Al menos uno certificado intermedio, que actúa como "aislamiento" entre la CA y el certificado de entidad final.
3. los certificado de entidad final, que se utiliza para validar la identidad de una entidad, como un sitio web, empresa o persona.
Es fácil ver una cadena de confianza por sí mismo al inspeccionar un HTTPS certificado del sitio web. Cuando usted comprobar un SSL /TLS certificado en un navegador web, encontrará un desglose de la cadena de confianza de ese certificado digital, incluido el ancla de confianza, los certificados intermedios y el certificado de entidad final. Estos diversos puntos de verificación están respaldados por la validez de la capa anterior o "enlace", que se remonta al ancla de confianza.
El siguiente ejemplo muestra la cadena de confianza del sitio web de SSL.com, que va desde el certificado del sitio web de la entidad final hasta la CA raíz, a través de un certificado intermedio:
La raíz autoridad de certificación (CA) sirve como el ancla de confianza en una cadena de confianza La validez de este ancla de confianza es vital para la integridad de la cadena en su conjunto. Si la CA es de confianza pública (como SSL.com), las principales empresas de software incluyen los certificados de CA raíz en su navegador y en el software del sistema operativo. Esta inclusión garantiza que el software confíe en los certificados en una cadena de confianza que conduce a cualquiera de los certificados raíz de la CA.
A continuación, puede ver el ancla de confianza del sitio web de SSL.com (SSL.com EV Root Certification Authority RSA R2):
La CA raíz o el ancla de confianza tienen la capacidad de firmar y emitir certificados intermedios. Certificados intermedios (también conocidos como intermedio, subordinaro CA emisoras) proporcionan una estructura flexible para conferir la validez del ancla de confianza a certificados adicionales de entidad final e intermedia en la cadena. En este sentido, los certificados intermedios cumplen una función administrativa; cada intermedio se puede utilizar para un propósito específico, como la emisión de SSL /TLS o certificados de firma de código, e incluso se pueden usar para conferir La confianza de la CA raíz con otras organizaciones.
Los certificados intermedios también proporcionan un búfer entre el certificado de entidad final y la CA raíz, lo que protege la clave raíz privada de cualquier compromiso. Para las CA de confianza pública (incluido SSL.com), el foro de CA / Navegador Requisitos de referencia en realidad, prohíbe la emisión de certificados de entidad final directamente desde la CA raíz, que debe mantenerse fuera de línea de forma segura. Esto significa que la cadena de confianza de cualquier certificado de confianza pública incluirá al menos un certificado intermedio.
En el ejemplo que se muestra a continuación, SSL.com EV SSL Intermediate CA RSA R3 es el único certificado intermedio en la cadena de confianza del sitio web SSL.com. Como sugiere el nombre del certificado, solo se utiliza para emitir SSL EV /TLS certificados:
El certificado de entidad final es el eslabón final en la cadena de confianza. El certificado de entidad final (a veces conocido como certificado de hoja or certificado de suscriptor), sirve para conferir la confianza de la CA raíz, a través de cualquier intermediario en la cadena, a una entidad como un sitio web, una empresa, gobiernoo persona individual.
Un certificado de entidad final se diferencia de un ancla de confianza o un certificado intermedio en que no puede emitir certificados adicionales. Es, en cierto sentido, el eslabón final en lo que respecta a la cadena. El siguiente ejemplo muestra el SSL de entidad final /TLS certificado del sitio web de SSL.com:
Una cadena de confianza garantiza la seguridad, la escalabilidad y el cumplimiento de los estándares para las AC. También garantiza la privacidad, la confianza y la seguridad de quienes confían en los certificados de entidades finales, como los operadores y usuarios de sitios web.
Es importante que los propietarios de sitios web y otros usuarios de certificados de entidad final comprendan que es necesaria una cadena de confianza completa para que su certificado confiera la confianza de una CA con éxito. Para obtener información sobre el diagnóstico y la resolución de errores del navegador como resultado de una cadena de confianza incompleta, consulte nuestro artículo sobre la instalación de certificados intermedios y guía de mensajes de error del navegador.
