Contenido principal
Curso: Principios de ciencias de la computación avanzados (AP Computer Science Principles) > Unidad 7
Lección 6: Protocolos seguros de InternetCertificados digitales
Google ClassroomEl protocolo TLS se basa en cifrado de llave pública. La computadora remitente usa la clave pública de la computadora receptora cuando cifra datos. Sin embargo, antes que suceda eso, TLS requiere un paso que es crucial para su seguridad: el remitente debe verificar la identidad detrás de la llave pública.
Un certificado digital, también conocido como certificado de llave pública o certificado de identidad, prueba la propiedad de una llave de cifrado.
La necesidad de certificados
¿Qué pasaría si TLS no incluyera un paso de verificación de certificado?
Los atacantes han encontrado maneras de interceptar una solicitud de una computadora a otra en Internet, como por ejemplo a través de puntos de acceso deshonestos.
Desde aquí pueden lanzar un ataque de "hombre en medio" (MITM). Aunque se llama "hombre" en el ataque, los atacantes son de todas las edades y géneros. También puedes pensar en ello como un "enmascarado en medio".
Primero, durante el proceso de establecer una conexión segura con TLS, un atacante envía al cliente su propia clave pública en lugar de la clave pública del servidor.
Después de eso, cada vez que el cliente cifra datos con la llave pública recibida, en su lugar cifra datos con la clave pública del atacante. El atacante puede descifrar el mensaje cifrado, cambiarlo a su gusto y cifrarlo de nuevo con la clave pública del servidor antes de enviar los datos al servidor.
Para prevenir un ataque de MiTM, el cliente necesita verificar la identidad detrás de una llave pública. Un certificado digital muestra la identidad detrás de una llave pública. Sin embargo, si cualquiera puede crearla, ¿cómo puede un cliente confiar en la legitimidad de un certificado digital? En TLS, los clientes confían en un certificado digital si fue generado por instituciones conocidas como autoridades de certificación.
Autoridades de certificación
Un servidor que quiere comunicarse de manera segura sobre TLS se registra con una autoridad de certificación. La autoridad verifica su propiedad del dominio, firma el certificado con su propio nombre y llave pública, y envía el certificado firmado de vuelta al servidor.
Cuando el cliente inspecciona el certificado, puede ver que una autoridad de certificación da fe de la autenticidad de la llave pública. Pero todavía tiene una decisión que tomar: ¿confía en esa autoridad de certificación?
Los clientes generalmente tienen incluidos una lista de autoridades de certificación confiables. Por ejemplo, un iPhone Apple con iOS 10 confía en esta lista de autoridades de certificación.
Los usuarios de Apple deben entonces confiar que Apple va a monitorear continuamente la lista, para asegurar que cada autoridad de certificación verifica dominios correctamente.
Puedes imaginar una cadena de confianza del usuario al servidor:
En cada punto, la confianza puede romperse. Si el usuario no confía en el cliente, puede cambiar la lista por defecto de autoridades de certificación de confianza del cliente . Si un cliente ya no confía en una autoridad de certificación, la eliminará de la lista. Si una autoridad de certificación ve un comportamiento sospechoso desde un servidor, puede revocar su certificado.
Autoridades intermedias de certificación
En realidad hay varios niveles de autoridades de certificación: la autoridad de certificación raíz y la autoridad de certificación intermedia.
La CA (autoridad de certificación) raíz no emite directamente ningún certificado digital para los servidores. Sólo emite certificados digitales para CAs intermedias que actúen en su nombre. Las CAs intermedias pueden o emitir certificados digitales para otra CA intermedia o directamente para un servidor.
Por lo tanto, hay otra cadena de confianza, desde la CA raíz hasta el servidor:
Las capas de autoridades de certificación aumentan la seguridad del sistema. Si una CA raíz descubre que una CA intermedia ha sido comprometida por un atacante, invalida los certificados de esa CA, pero sigue confiando en los certificados de sus otras CA intermedias.
🔍 Puedes ver la cadena por ti mismo cuando revisas el certificado de un sitio web seguro en el navegador. Si haces clic en el candado junto a la URL, el navegador debe ofrecerte una forma de inspeccionar los certificados.
🙋🏽🙋🏻♀️🙋🏿♂️¿Tienes alguna pregunta sobre este tópico? Nos encantaría contestarte; ¡simplemente pregunta en el área de preguntas abajo!
¿Quieres unirte a la conversación?
Como puedo obtener mi certificado virtual(2 votos)- no se, pregunta al jefe(1 voto)
Nota: los certificados digitales, estos son usados para verificar que donde se mandan la información es el destino acordado, siendo estos que el cliente busca confirmar con el servidor, estos cuentan con certificados intermedios aumentando así la seguridad.(1 voto)