Certificados digitales

La diferencia entre emitir un par de claves y emitir un “certificado digital” básicamente radica en que el certificado está emitido por una Autoridad de Certificación que FIRMA el mismo, luego veremos que se incluyen una serie de campos, pero su diferencia radica fundamentalmente en el concepto mencionado.

certificados digitales

En virtud de lo que acabamos de expresar, se deduce que para trabajar con certificados digitales, es necesario contar con una Autoridad de certificación, como expresamos en el párrafo anterior. Dependiendo de los usuarios que hagan uso de estos certificados, esa Autoridad de certificación puede ser implantada por nosotros (para empleados, clientes, partners, etc.), o deberemos recurrir a una internacionalmente reconocida si los usuarios son desconocidos.

Existen varios tipos de certificados estandarizados, pero el mercado (y casi el 100% de Internet) se ha decantado por la familia UIT-T X.509 (Unión Internacional de Telecomunicaciones- sector Telecomunicaciones).

Los certificados X.509 nacen en el año 1988, como parte de la familia X.500 que fue un trabajo conjunto entre ISO e ITU-T, esta familia abarca aspectos referentes a servicios de directorio, y justamente dentro de esta familia (o serie), el que más éxito llega a tener es X.509 que no trata de servicios de directorio, sino de certificados digitales.

Una vez más, sucedió que la velocidad de Internet superó la de estas grandes organizaciones y la IETF a través de su grupo de trabajo PKIX (para infraestructura de clave pública), tomó las riendas de este estándar publicando en el año 1999 la RFC-2459 (Internet X.509 Public Key Infrastructure Certificate and CRL Profile), que sucesivamente va quedando obsoleta por las RFC: 3280 y luego la actual RFC-5280 en el año 2008, que es la que verdaderamente regula los aspectos de lo que hoy llamamos “X.509 versión 3”. Esta última versión según la RFC está en capacidad de soportar cualquier aplicación del tipo WWW, correo electrónico, autenticación de usuarios y protocolo IPSec.

Los Certificados digitales son documentos (digitales) que sirven para asegurar la veracidad de la clave pública perteneciente al propietario del certificado o de la entidad, con la que se firman digitalmente documentos. Deben proporcionar las más absolutas garantías de seguridad respecto a cuatro elementos fundamentales:

  • La autenticación del usuario/entidad (es quien asegura ser).
  • La confidencialidad del mensaje (que sólo lo podrá leer el destinatario).
  • La integridad del documento (nadie lo ha modificado).
  • El no repudio (el mensaje una vez aceptado, no puede ser rechazado por el emisor).

Otro dato a tener en cuenta, es que un certificado no puede falsificarse ya que va firmado por una Autoridad de certificación (CA). Si algún dato se modificase la firma no correspondería con el resumen (Hash) que se obtendría de los datos modificados. Por tanto al utilizarlo, el software que los gestiona daría un mensaje de invalidez.

Un certificado electrónico contiene una clave pública, y una firma digital.


Este tema los hemos desarrollado en el video 4 del ciclo "OpenSSL", y lo puedes ver en:

"OpenSSL (Parte 4)" - Certificados digitales (Estándar ITU-T X.509)



En el capítulo 8 de nuestro libro Seguridad por Niveles, puedes analizar y estudiar todos los conceptos sobre estos certificados:

8. ALGUNOS CONCEPTOS MÁS

8.1. Breves conceptos de criptografía 441
8.2. PKI (Infraestructura de clave pública) 472
 8.2.1. Situación, casos y empleos
 8.2.2. Certificados digitales
 8.2.3. Estructuras de confianza
 8.2.4. Componentes de una PKI
 8.2.5. ¿PKI o estructuras de confianza? 
 8.2.6. ¿Certificados de terceros o propios? 
 8.2.7. Ventajas y desventajas
 8.2.8. Estándares PKCS