Certificaciones X.509 para la protección contra suplantadores de identidad de red maliciosos

Un certificado X.509 es un certificado digital que define el formato de los certificados de Infraestructura de Clave Pública (PKI) y proporciona protección contra suplantadores de identidad maliciosos. Los ataques de intermediario (man-in-the-middle) pueden iniciarse fácilmente sin la autenticación x.509.

Se utiliza ampliamente para muchos protocolos de Internet (IP), incluyendo Conexiones SSL/TLS Protocolos seguros para navegar por la web. Un certificado X.509, firmado por una autoridad de certificación de confianza o autofirmado, contiene una clave pública, así como la identificación de un nombre de host, una empresa o un individuo. También se utiliza en aplicaciones sin conexión, como las firmas electrónicas.

X. 509 también define una lista de revocación de certificados, que es una forma de distribuir información sobre los certificados que han sido declarados inválidos por una autoridad firmante, así como por un algoritmo de validación de la ruta de certificación.

¿Qué es un certificado?

Un certificado digital es un archivo o una contraseña cifrada que confirma la autenticidad de un dispositivo, servidor o usuario mediante el uso de PKI y criptografía.

Las organizaciones pueden emplear la autenticación con certificados digitales para garantizar que solo los dispositivos y usuarios confiables puedan conectarse a sus redes. Otra aplicación frecuente de... Certificados digitales es verificar la legitimidad de un sitio web en un navegador web, a menudo conocido como capa de sockets seguros o certificado SSL.

Un certificado digital contiene información de identificación, como la identidad del usuario, la empresa o el departamento, así como la dirección IP o el número de serie del dispositivo. Los certificados digitales incluyen una copia de la clave pública del titular, la cual debe coincidir con una clave privada para ser válida.

¿Por qué usar certificados X.509?

Los certificados X.509 tienen varias ventajas que las contraseñas no tienen. Resultan ser más ventajosos que las contraseñas convencionales.

• Son resistentes al phishing; a diferencia de una contraseña, que requiere que el servidor obtenga la contraseña en texto plano para verificar su identidad, un certificado X.509 lo autentica mediante un algoritmo de validación de ruta de certificación, firmando certificados con certificados de CA intermedios. Un sitio de phishing recibe una contraseña que luego puede usar en el sitio web legítimo; la autenticación X.509 solo le proporciona una firma del certificado y no la clave secreta necesaria para engañarlo.
• Si se reutilizan en otros sitios, no representan ningún riesgo. Si usa la contraseña de su organización en otro sitio web, este podría recopilarla o almacenarla de forma ineficiente, lo que permitiría su robo en caso de una brecha de seguridad. Si usa el mismo certificado para varios sitios, no depende de que todos ellos protejan sus credenciales (si usa la misma contraseña en varios sitios y alguno la gestiona de forma incorrecta, queda expuesta para todos).
• Normalmente, recibirá certificados individuales para cada navegador o dispositivo que posea. Esto implica que, si pierde el dispositivo, la empresa podría revocar uno de ellos en lugar de todos.
• Del mismo modo, no existe posibilidad de que alguien espíe la contraseña o la revele a sus compañeros. Si bien un usuario podría exportar la clave privada, es mucho menos probable que revelar su contraseña a otra persona.
• Proporcionan autenticación de dos factores cuando se utilizan junto con una contraseña ('algo que sabes' es una contraseña y 'algo que tienes' es un certificado).

¿Cómo funcionan los certificados X.509?

La Notación de Sintaxis Abstracta Uno (ASN.1) es la base de los estándares X.509. Mediante ASN, el formato de certificado X.509 utiliza un par de claves pública y privada relacionadas para cifrar y descifrar un mensaje.

La CA emite un certificado X.509 a una entidad, y dicho certificado se adjunta a ella como una credencial con foto. A diferencia de las contraseñas inseguras, no se pueden perder ni robar. Usando la analogía de la credencial, es fácil imaginar cómo funciona la autenticación: el certificado se "muestra" como una identificación en el recurso que requiere autenticación.

Fundamentos de la infraestructura de clave pública (PKI)

Una infraestructura de clave pública (PKI) contiene una cadena de números generados aleatoriamente que se utiliza para cifrar un mensaje. Solo el destinatario seleccionado puede descifrar y leer este mensaje cifrado, y únicamente mediante la clave privada asociada, que también consiste en una larga cadena de números aleatorios.

Esta clave privada se mantiene en secreto y solo la conoce el destinatario. Dado que la clave pública se publica para que todo el mundo la vea, se utiliza un algoritmo criptográfico complejo que genera combinaciones numéricas aleatorias de longitud variable para crear una clave pública y emparejarla con una clave privada asociada.

Los siguientes son los algoritmos más utilizados para generar claves públicas:

• Rivest–Shamir–Adleman (RSA)
• Algoritmo de firma digital (DSA)
• Criptografía de curva elíptica (ECC)

Atributos del certificado X.509

Cada certificado tiene varios atributos y campos que contienen información sobre el usuario, el emisor y los parámetros criptográficos del propio certificado.

• Versión

  La versión X.509 está asociada al certificado.

• Número de serie

  El número de serie único asignado por la CA a cada certificado emitido.

• Información del algoritmo

  El algoritmo criptográfico, o algoritmo de clave privada, suele ser RSA 2048.

• Nombre del emisor

  Nombre de la CA emisora

• Periodo de validez

  El período durante el cual el certificado se considerará válido.

• Nombre distinguido del sujeto

  El nombre del dispositivo al que se le emite el certificado.

• Información de clave pública del sujeto

  La clave pública vinculada a la identidad.

Aplicaciones comunes de los certificados X.509

Muchas direcciones IP dependen de X.509, y la tecnología PKI se utiliza a diario en diversas aplicaciones, como la seguridad de servidores web, firmas digitales, firma de documentos e identidades digitales.

Seguridad del servidor web con certificados TLS/SSL

La PKI sirve de base para los protocolos de capa de sockets seguros (SSL) y seguridad de la capa de transporte (TLS), que sustentan las conexiones seguras de navegador HTTPS. Sin certificados SSL ni TLS para crear conexiones seguras, los atacantes podrían interceptar las comunicaciones y leer su contenido a través de Internet u otras redes IP mediante diversos vectores de ataque, como ataques de intermediario.

Firmas digitales y firma de documentos

Los certificados basados ​​en PKI se pueden utilizar para firmas digitales y de documentos, además de para proteger la mensajería.

Las firmas digitales son un tipo de firma electrónica que utiliza PKI para validar la identidad del firmante, así como la integridad de la firma y del documento. Dado que las firmas digitales se generan mediante un hash, cifrado con la clave privada del remitente, no pueden manipularse ni reproducirse de ninguna manera.

Esta verificación criptográfica conecta matemáticamente la firma con el mensaje original para verificar que el remitente ha sido verificado y que el mensaje no ha sido modificado.

Firma de código

La firma de código permite a los creadores de aplicaciones ofrecer mayor seguridad mediante la firma digital de aplicaciones, controladores y programas de software, lo que permite a los usuarios finales verificar que el código que reciben no ha sido alterado ni comprometido por terceros. Estos certificados digitales incluyen la firma del desarrollador, el nombre de la empresa y la marca de tiempo para garantizar la seguridad y fiabilidad del código.

Autenticación del cliente

La autenticación de certificado de cliente es una autenticación mutua basada en certificados en la que los usuarios proporcionan certificados digitales compatibles con los estándares X.509 a los servidores como un componente del protocolo de enlace TLS para demostrar sus identidades; esto también se reconoce como autenticación TLS mutua o bidireccional.

Si bien la función principal de TLS en Internet es respaldar el cifrado y la confianza, lo que permite que un navegador web valide la autenticidad del sitio web, el protocolo también funciona a la inversa, con certificados de cliente X.509 utilizados para autenticar a un cliente en el servidor web.

Administración de certificados X.509

Uno de los componentes más importantes de los certificados X.509 es su gestión eficaz a gran escala mediante la automatización. Las empresas que no cuentan con personal, procedimientos y tecnología de excelencia se exponen a brechas de seguridad, interrupciones, daños a la marca y fallos críticos de infraestructura.

Conclusión

Los certificados X.509 son activos clave para generar y mantener la confianza digital en el mundo digital. Si no se gestionan eficazmente, las empresas pueden correr el riesgo de sufrir infracciones y auditorías fallidas.

Llévenos a Encryption Consulting una lista de sus capacidades actuales de gestión de certificados X.509 y determine si es necesaria una nueva solución para mantenerse al día con el crecimiento constante de sus certificados digitales.