La importancia de la raíz

El Blog de LatSSL

Estás leyendo:

La importancia de la raíz

Aunque muchos no lo saben, toda Autoridad Certificadora inicia con un certificado raíz. El certificado raíz o “root” es el certificado principal que firmará el inicio de la cadena de certificación de la Autoridad Certificadora.

El certificado raíz de una Autoridad Certificadora es realmente un certificado “auto-firmado”, en donde es la misma entidad la que firma y la que recibe el certificado, muy similar a lo que cualquier desarrollador podría hacer usando herramientas de software libre como OpenSSL. Pero entonces… ¿qué hace el certificado root tan especial?

La primera diferencia es la administración de la llave privada que acompaña al certificado raíz. En un certificado SSL/TLS es común que las llaves privadas se instalen en el servidor a partir de un archivo de texto y que sea responsabilidad del propietario del certificado almacenar la llave de forma segura. En un certificado raíz para una Autoridad Certificadora, las llaves deben almacenarse en un dispositivo físico llamado HSM o Hardware Security Module. Los HSMs son dispositivos creados con la única función de almacenar de forma segura las llaves privadas, realizar firmas y ser inviolables. Este elemento es el que garantiza que el certificado raíz no pueda ser usado de forma maliciosa para firmar certificados de terceros.

La Autoridad Certificadora usará ese certificado raíz para firmar los Certificados de Emisor, que son certificados que funcionan de intermediario entre el certificado final emitido a un cliente y el certificado raíz. Los requisitos de seguridad del Certificado de Emisor son muy similares a los del certificado raíz. Estos últimos Certificados de Emisor serán los que firmarán directamente los certificados solicitados por los clientes para su uso en servidores. Cabe aclarar que en la cadena de certificación pueden existir más de un certificado intermediario, incluso es normal que la cadena de certificación incluya 2 o 3 Certificados de Emisor.

Cuando un cliente (hablando en términos de arquitectura cliente-servidor) se conecta a un servidor por medio de una conexión segura, el servidor envía al cliente su certificado, que es la parte pública de la seguridad PKI. El cliente a su vez validará qué certificado se usó para firmar el certificado recién recibido. Si al hacer esta validación encuentra un Certificado de Emisor, buscará validar el certificado que a su vez firmó el Certificado de Emisor. En caso de que existan más de un Certificado de Emisor en la cadena de validación, repetirá el proceso, hasta llegar a un certificado raíz. Al tener el certificado raíz o root que inició la cadena de certificación, lo comparará contra un repositorio interno de certificados “confiables” y en caso de encontrarlo, aceptará la conexión como segura.

Esto nos lleva a la segunda parte más importante de un certificado raíz, que es su inclusión en los repositorios o almacenamientos internos de los diversos navegadores, sistemas operativos y aplicaciones. Si un certificado raíz no se encuentra incluído en dicho repositorio, la conexión será marcada como insegura, pues el certificado usado para la conexión se determina como “no confiable”, aún cuando tecnológicamente cuente con todos los elementos necesarios para proteger los datos en tránsito, pero aún así carece de la parte de validación, que es un pilar de la industria de la seguridad PKI.

El proceso de inclusión de certificados raíz en los diferentes repositorios es un proceso arduo y complejo que puede llevar varios años, pues se deben cumplir los lineamientos de las autoridades establecidas para estos fines y cubrir los requisitos de los principales fabricantes de software y hardware. Es por ello que cuando una Autoridad Certificadora logra su inclusión en todos los repositorios, el salvaguardar la reputación y confiabilidad de su certificado raíz se vuelve su tarea principal, pues de dicho certificado depende toda su operación.

Esperamos con este texto ayudar a disipar un poco las dudas con relación a la función e importancia de los certificados raíz o root. En LatSSL contamos con un certificado root que se encuentra debidamente instalado en los repositorios y almacenamientos de prácticamente todos los fabricantes, lo que nos permite asegurar una aceptación mundial del 99.99% en dispositivos y aplicaciones vigentes.

Suscríbete a nuestro boletín Latitud SSL y recibe las últimas noticias del mundo de la seguridad en Internet, promociones especiales y acceso a lanzamiento de nuevos productos.

© 2024 LatSSL & Intradigital Soluciones Tecnológicas, S. de R. L. de C.V. Reservados todos los derechos.

LatSSL es un proveedor de soluciones de seguridad y emisor de certificados SSL propiedad de Intradigital Soluciones Tecnológicas, S. de R.L. de C.V. LatSSL es una marca registrada y protegida. Este sitio puede incluir menciones de otras marcas registradas que son propiedad de sus respectivos derechohabientes.

Información Importante

Lat[itud] SSL

Porque no podíamos desaprovechar la oportunidad de usar nuestra marca :)

Latitud SSL

Porque te damos orientación en materias de seguridad en Internet, PKI y más.

[La]titud [SSL]

Porque es un boletín con actitud, interesante y entretenido.

Suscripción a Latitud SSL

"*" indica campos requeridos

Tu nombre completo*
Dirección de correo*
Aceptación de términos*