CA Pública vs CA Privada

El Blog de LatSSL

Estás leyendo:

CA Pública vs CA Privada

Una CA o Autoridad Certificadora es la parte más alta de la infraestructura PKI, ya que es quien por medio de su certificado raíz o sus certificados intermediarios, firmará o emitirá los certificados leaf (hojas de árbol) para usar en dispositivos y servidores.

Sin embargo a veces resulta difícil entender cuando debemos recurrir a una Autoridad Certificadora Pública o cuando nos conviene crear nuestra propia Autoridad Certificadora Privada.

Principal diferencia entre una CA Pública y una CA Privada

Existen muchas diferencias, pero aquí trataremos de resumirlas para dejar solo las más significativas para cada uso.

La principal diferencia es que una CA Pública cuenta con un certificado raíz o root que se encuentra ya presente en los principales repositorios de certificados de los navegadores, sistemas operativos y dispositivos más usados, lo que implica que un certificado firmado por la CA Pública automáticamente será confiable a nivel general. Por su parte la CA Privada requiere que su certificado raíz sea incluído manualmente en los sistemas o dispositivos que deberán confiar en sus certificados.

Cavando un poco más profundo también encontramos otra diferencia que es fundamental. La CA Pública se rige por lineamientos y estatutos aceptados por los reguladores mundiales (como el CA/B Forum), mientras que en una CA Privada no es necesario cumplir con dichos lineamientos, aunque por cuestiones de “aseguramiento de calidad”, se recomienda adeptar la mayoría de dichos lineamientos.

La última diferencia notable es el costo por certificado, en una CA Privada se puede tener un costo por certificado cercano a cero, debido a que toda la operación puede realizarse con infraestructura propia (aunque por seguridad, simplicidad y tiempo, recomendamos usar servicios de hospedaje de PKI), mientras que una CA Pública siempre impondrá un costo a cada certificado emitido.

¿Cuándo nos conviene usar una CA Pública?

Definitivamente debemos recurrir a una CA Pública cuando se cumplen uno o más de los siguientes postulados:

  • Cuando no tenemos acceso a los dispositivos cliente que deberán confiar en el certificado.
  • Cuando no queremos administrar internamente todo el proceso de emisión y revocación de certificados.
  • Cuando requerimos del respaldo y confianza de una garantía ofrecida por el emisor de certificados.
  • Cuando requerimos de interoperabilidad entre sistemas propios y de terceros.

En cualquiera de estos casos, la mejor opción es una CA Pública, ya que el reconocimiento y aceptación de los certificados se encuentra implícito.

¿Cuándo nos conviene crear y usar una CA Privada?

Una CA Privada se convierte en la mejor opción cuando nuestros requisitos incluyen los siguientes supuestos:

  • Necesitamos emitir certificados para uso interno en red local o intranet.
  • Estamos desarrollando equipos propios en donde podemos instalar nuestro certificado raíz a nivel OEM.
  • Requerimos establecer nuestros propios mecanismos de validación para cada certificado.
  • Necesitamos emitir certificados con una vigencia superior a 13 meses.
  • Los certificados de nuestra CA Privada no interactuaran con sistemas o equipos de terceros.

Combinando lo mejor de ambos mundos

Hay casos en los cuales la mejor solución es combinar ambas. Obtener certificados emitidos por una CA Pública para los servidores y equipos que serán accesibles por medio de Internet o de extranets, o por clientes sobre los cuales no tenemos control para poder incorporar el certificado raíz de una CA Privada. Al mismo tiempo también usar una CA Privada para emitir los certificados que se usarán a nivel interno, ya sea para validación de servidores, identidad, correo electrónico, etc.

De esta forma podemos cubrir al 100% las necesidades de cualquier proyecto y sin problemas que puedan vulnerar la seguridad o la cadena de confianza.

Por fortuna en LatSSL contamos con la tecnología para poder satisfacer ambas necesidades. Contamos con una gran gama de certificados SSL/TLS firmados y emitidos usando nuestros certificados públicamente reconocidos y al mismo tiempo contamos con la infraestructura, conocimientos, personal y tecnología para poderte apoyar en la implementación de una CA Privada que cumpla con todos los requisitos de seguridad y que te permita administrar el ciclo de vida de tus certificados de forma eficiente y a un excelente costo.

Suscríbete a nuestro boletín Latitud SSL y recibe las últimas noticias del mundo de la seguridad en Internet, promociones especiales y acceso a lanzamiento de nuevos productos.

© 2024 LatSSL & Intradigital Soluciones Tecnológicas, S. de R. L. de C.V. Reservados todos los derechos.

LatSSL es un proveedor de soluciones de seguridad y emisor de certificados SSL propiedad de Intradigital Soluciones Tecnológicas, S. de R.L. de C.V. LatSSL es una marca registrada y protegida. Este sitio puede incluir menciones de otras marcas registradas que son propiedad de sus respectivos derechohabientes.

Información Importante

Lat[itud] SSL

Porque no podíamos desaprovechar la oportunidad de usar nuestra marca :)

Latitud SSL

Porque te damos orientación en materias de seguridad en Internet, PKI y más.

[La]titud [SSL]

Porque es un boletín con actitud, interesante y entretenido.

Suscripción a Latitud SSL

"*" indica campos requeridos

Tu nombre completo*
Dirección de correo*
Aceptación de términos*