Autoridad de certificación: jerarquía y uso

La seguridad y la protección en Internet son esenciales, y las personas y las organizaciones a menudo tienen una necesidad legítima de cifrar y verificar la identidad de las personas con las que se comunican.

A Autoridad certificada es una entidad confiable que emite Certificados digitalesUna autoridad de certificación realiza tres tareas principales:

• Emite certificados
• Certifica la identidad del propietario del certificado.
• Prueba la validez del certificado

Certificados digitales

Un certificado, o certificado digital, es un conjunto de datos que verifica la identidad de una entidad. Los certificados son emitidos por las CA y siguen un formato específico (estándar de certificados X.509).

La información contenida en un certificado es:

• Asunto

  Proporciona el nombre de la computadora, el usuario, el dispositivo de red o el servicio al que la CA emite el certificado.

• Número de serie

  Proporciona un identificador único para cada certificado que emite una CA.

• Emisor

  Proporciona un nombre distinguido para la CA que emitió el certificado.

• Válido desde

  Proporciona la fecha y hora en que el certificado se vuelve válido.

• Válido hasta

  Proporciona la fecha y la hora en que el certificado ya no se considera válido.

• clave pública

  Contiene la clave pública del par de claves que está asociado con el certificado.

• Algoritmo de firma

  El algoritmo utilizado para firmar el certificado.

• Valor de la firma

  Cadena de bits que contiene la firma digital.

¿Cómo funciona una autoridad de certificación?

A continuación se explica el proceso para obtener una autoridad certificadora que emita un certificado firmado:

1. El solicitante o cliente crea un par de claves (pública y privada) y envía una solicitud de firma de certificado (CSR) a una autoridad de certificación de confianza. La CSR contiene la clave pública del cliente y toda la información sobre el solicitante.
2. La CA valida la veracidad de la información del CSR. De ser así, emite y firma un certificado con su clave privada y lo entrega al solicitante para su uso.
3. El solicitante puede utilizar el certificado firmado para el protocolo de seguridad apropiado:

Usos de una autoridad de certificación

Las autoridades de certificación emiten varios tipos de certificados, uno de los cuales es un SSL Certificado. Los certificados SSL se utilizan en servidores y son los más comunes con los que un usuario normal se encontraría. Los tres niveles de un certificado SSL son...

• Extended Validation (EV)
• Validación de la organización (OV)
• Validación del dominio (DV)

Los certificados con mayores niveles de confianza suelen costar más, ya que requieren más trabajo por parte de la autoridad certificadora.

1. Extended Validation (EV)

   Estos certificados ofrecen la máxima garantía, por parte de la autoridad certificadora, de que la entidad solicitante ha validado el certificado. Durante la verificación de un certificado SSL con EV, el propietario del sitio web supera un proceso de verificación de identidad exhaustivo y estandarizado a nivel mundial (un conjunto de principios y políticas de verificación ratificados por el foro de CA/Navegadores) para demostrar los derechos exclusivos de uso de un dominio, confirmar su existencia legal, operativa y física, y demostrar que la entidad ha sido autorizada para la emisión del certificado. Esta información de identidad verificada se incluye en el certificado.

   Por ejemplo: una persona que solicita un certificado EV debe ser validada a través de una interacción cara a cara con el solicitante, así como mediante la revisión de una declaración personal, una forma principal de identificación, como un pasaporte o una licencia de conducir, así como dos formas secundarias de identificación.

2. Validación de la organización (OV)

   Los certificados OV garantizan la seguridad y requieren la verificación humana de la identidad de la organización. Los certificados SSL OV garantizan a los visitantes que se encuentran en un sitio web gestionado por una empresa auténtica. Antes de otorgar un certificado OV, un miembro del equipo de seguridad debe contactar a la empresa para confirmar que los propietarios realmente solicitaron el certificado SSL.

3. Validación del dominio (DV)

   Los certificados de validación de dominio son los más fáciles de obtener, ya que no requieren verificación de identidad manual. Los certificados SSL DV solo requieren que el solicitante demuestre la propiedad del dominio para el que se solicita el certificado. Los certificados DV se pueden obtener casi al instante y a un coste mínimo o gratuito. Por ejemplo: la validación de DNS o correo electrónico de ACM Cert Manager.

Las autoridades de certificación también emiten otros tipos de certificados digitales:

1. Certificados de firma de código

   Firma de código Los editores y desarrolladores de software utilizan certificados para firmar sus distribuciones. Los usuarios finales los utilizan para autenticar y validar las descargas de software del proveedor o desarrollador.

2. Certificados de correo electrónico

   Permitir que las entidades firmen, cifren y autentiquen correos electrónicos mediante el protocolo S/MIME (Extensión de correo de Internet multipropósito seguro) para archivos adjuntos de correo electrónico seguros.

3. Certificados de dispositivo

   Se emite a dispositivos de Internet de las cosas (IOT) para permitir la administración segura y la autenticación de actualizaciones de software o firmware.

4. Certificados de objeto

   Se utiliza para firmar y autenticar cualquier tipo de objeto de software.

5. Certificados de usuario o cliente

   Utilizado por personas para diversos fines de autenticación.

Autenticación cliente-servidor mediante autoridad de certificación (CA)

La CA establece un certificado digital, también conocido como certificado SSL/TLS, que vincula una clave pública a información relacionada con la entidad propietaria de dicha clave. Esto permite que cualquier sistema verifique la vinculación de la clave de entidad a cualquier certificado presentado.

1. El primer paso es determinar si la CA es confiable. El nombre de la CA se obtiene del certificado y se compara con una lista de CA confiables proporcionada por el navegador web. Si se determina que el nombre de la CA es confiable, el cliente obtendrá su clave pública correspondiente para usarla en el siguiente paso de validación.
2. En este paso, se validará la firma digital del certificado del servidor. Se trata básicamente del hash de la clave pública de la CA.
3. Para validar la firma digital, el cliente aplica un algoritmo hash a la clave pública de la CA con el mismo algoritmo hash utilizado por la CA para obtener la firma digital.
4. Si los dos hashes coinciden, la firma digital es válida y el certificado está autenticado. Si no coinciden, el certificado no es válido y no se puede autenticar.
5. También es necesario verificar las fechas de vencimiento del certificado para validarlo.
6. Una vez autenticado un certificado, también se autenticará la identidad del propietario del certificado.

Opciones de jerarquía de CA

Las CA tienen una estructura jerárquica y, generalmente, hay tres tipos de jerarquías: de un nivel, de dos niveles y de tres niveles.

Jerarquía de un solo nivel

En este tipo de jerarquía, la CA única actúa como CA emisora ​​y CA raíz. La CA raíz se instala como CA empresarial, permaneciendo en la red como miembro de un dominio específico. En resumen, la CA raíz siempre está disponible para emitir certificados a los usuarios, equipos, dispositivos de red, etc. que lo soliciten.

Esta jerarquía de un solo nivel no se recomienda para ningún escenario de producción porque con esta jerarquía, una vulneración de esta única CA equivale a una vulneración de toda la PKI.

Jerarquía de dos niveles

Una jerarquía de dos niveles satisface las necesidades de la mayoría de las empresas. Este diseño comprende una CA raíz offline y una CA emisora ​​subordinada online. En este modelo, el nivel de seguridad aumenta porque la CA raíz está desconectada de la red, por lo que su clave privada está mejor protegida contra cualquier riesgo. La jerarquía de dos niveles también aumenta la escalabilidad y la flexibilidad, ya que puede haber varias CA emisoras subordinadas a la CA raíz. Esto permite que las CA existan en diferentes ubicaciones geográficas, así como con diferentes niveles de seguridad.

Jerarquía de tres niveles

En una jerarquía de CA de tres niveles, una CA raíz sin conexión se instala como CA raíz independiente, y una o más CA intermedias/de políticas sin conexión, así como una o más CA emisoras, se instalan como CA subordinadas empresariales. La CA de políticas está configurada para emitir certificados a la CA emisora, la cual tiene restricciones en cuanto al tipo de certificados que emite. Una de las razones por las que se añade la segunda capa a esta jerarquía es que, si se necesita revocar varias CA debido a una vulnerabilidad de clave, se puede realizar en el segundo nivel, dejando disponibles otras ramas de la raíz. Cabe destacar que las CA de segundo nivel en esta jerarquía, al igual que la raíz, pueden mantenerse sin conexión.

Conclusión

Una autoridad de certificación desempeña el papel clave de facilitar la comunicación segura y generar confianza entre un usuario y un recurso al verificar que la organización y el cliente en cuestión sean auténticos o válidos.

Para obtener una lista completa de las recomendaciones para planificar una jerarquía de CA, junto con el nivel de impacto comercial en el que debería considerar implementarlas, consulte Protección de PKI: Apéndice F: Lista de recomendaciones por nivel de impacto.