Certificado X.509 KPI, todo lo que debes saber

Si estás buscando la respuesta a la pregunta «¿qué es un certificado X.509?» entonces acaba de llegar al lugar correcto. Un certificado X.509 es un tipo de certificado digital que se usa en Internet de muchas formas diferentes. De hecho, ¡estás usando uno ahora mismo mientras visitas nuestro sitio web!

En pocas palabras, los certificados X.509 ayudan a proteger a las organizaciones y a las personas de quienes desean hacerse pasar por ellos o espiarlos. Lo hacen mediante el uso de claves asimétricas y validación de terceros, que explicaremos con más profundidad en breve.

Muy bien, vayamos directos a eso. En este artículo, cubriremos los elementos clave para conocer los certificados X.509.

¿Qué es un certificado X.509?

Un certificado X.509 permite que sitios web, usuarios, empresas y otras organizaciones prueben sus identidades en Internet. En otras palabras, utilizan un certificado X.509 como pasaporte para demostrar quiénes son. Para decirlo en términos más técnicos, un certificado X.509 es un tipo de certificado digital que ofrece autenticación de terceros a sitios web, usuarios, empresas y otras organizaciones en Internet. Esto se conoce como autenticación de terceros.

Pero si tienes un certificado X.509 para tu empresa, ¿no podría alguien simplemente robar el certificado y usarlo como una identificación falsa? No muy fácilmente. Y eso es gracias a algo que se conoce como infraestructura de clave pública, o PKI para abreviar.

X.509 es un formato estándar para certificados de clave pública, documentos digitales que asocian de forma segura pares de claves criptográficas con identidades como sitios web, individuos u organizaciones.

Las aplicaciones comunes de los certificados X.509 incluyen:

  • SSL / TLS y HTTPS para navegación web autenticada y cifrada
  • Correo electrónico firmado y encriptado a través del protocolo S / MIME
  • Firma de código
  • Firma de documentos
  • Autenticación de cliente
  • Identificación electrónica emitida por el gobierno.

Certificados X.509 y PKI

Los certificados X.509 son una parte integral de los estándares internacionales de infraestructura de clave pública (PKI). Estos estándares se publicaron por primera vez en 1988 y se han actualizado cada pocos años desde entonces. La versión más reciente de los estándares PKI X.509 fue en octubre de 2019. Por lo tanto, los certificados X.509 también se conocen como certificados de clave pública (o certificados PKI ) porque se crean y administran de acuerdo con estos estándares de formato.

La razón por la que alguien no puede robar fácilmente y usar tu certificado como propio es porque un certificado X.509 vincula la información sobre ti (tu organización) a una clave pública criptográfica y pone esa clave a disposición de terceros. Una clave pública es parte de un par de claves asimétricas que consta de una clave pública y una privada.

Formato

Independientemente de las aplicaciones previstas, cada certificado X.509 incluye una clave pública, una firma digital e información sobre la identidad asociada con el certificado y su autoridad de certificación (CA) emisora:

  • La clave pública es parte de un par de claves que también incluye una clave privada. La clave privada se mantiene segura y la clave pública se incluye en el certificado. Este par de claves pública / privada:
    • Permite al propietario de la clave privada firmar documentos digitalmente; Estas firmas pueden ser verificadas por cualquier persona con la clave pública correspondiente.
    • Permite a terceros enviar mensajes cifrados con la clave pública que solo el propietario de la clave privada puede descifrar.
  • Una firma digital es un hash codificado (resumen de longitud fija) de un documento que se ha cifrado con una clave privada. Cuando un certificado X.509 está firmado por una CA de confianza pública, como SSL.com, un tercero puede utilizar el certificado para verificar la identidad de la entidad que lo presenta.
  • Cada certificado X.509 incluye campos que especifican el asunto, la CA emisora y otra información requerida, como la versión del certificado y el período de validez. Además, los certificados v3 contienen un conjunto de extensiones que definen propiedades como usos aceptables de claves e identidades adicionales a las que enlazar un par de claves.

¿Quién emite los certificados X.509?

Las autoridades de certificación (CA) son las entidades responsables de emitir certificados digitales X.509. Hacen esto para asegurarse de que cada certificado que emiten se adhiere a estándares de autenticación específicos y cumple con requisitos de validación específicos.

Normalmente, cuando la gente habla de CA, se refiere específicamente a las autoridades de certificación públicas. Sin embargo, también existen CA privadas, que pueden emitir y autofirmar certificados para su uso dentro de sus propias organizaciones e intranets. (Los certificados autofirmados nunca deben usarse para aplicaciones de cara al público).

Aunque existen unos pocos cientos de CA en todo el mundo, solo unas pocas emiten la mayoría de los certificados utilizados a nivel mundial.

Funciones que desempeñan las CA en los certificados X.509

Entonces, ¿qué es exactamente lo que hacen las CA?:

Para que una parte pueda confiar en una clave pública de otra entidad, por ejemplo para autenticar la identidad de esa entidad, la clave pública se obtendrá de una fuente confiable. Dicha fuente, denominada autoridad de certificación (CA), certifica una clave pública mediante la emisión de un certificado de clave pública que vincula la clave pública a la entidad que posee la clave privada correspondiente.

Validan las identidades organizativas para asegurarse de que sean legítimas

Antes de que una autoridad de certificación emita un certificado de clave pública a cualquier persona, primero valida que el solicitante es genuino. Por ejemplo, si solicitas un certificado X.509 para el sitio web de tu empresa, hay tres formas en las que pueden hacerlo:

  • Validación de dominio (DV): este proceso implica que la CA utilice la automatización para verificar que una organización controla el dominio en cuestión. Por lo general, esto implica:
    • Enviar un correo electrónico a una dirección de correo electrónico registrada para ese dominio, o
    • Enviar un correo electrónico con archivos que deben cargarse en una carpeta específica de ese dominio.
  • Validación organizacional (OV): este proceso de validación de nivel medio implica que la CA lleve a cabo una validación empresarial básica. Esto verifica que tu no solo posees o controlas el dominio, sino que tu organización es legítima. Esto ayuda a generar confianza al demostrar que CA ha verificado la identidad de tu organización y que, por lo tanto, es digna de confianza.
  • Validación extendida (EV): este proceso es el más profundo de los tres tipos de validación. Requiere múltiples comprobaciones de verificación utilizando documentos proporcionados por el solicitante del certificado, así como por otras fuentes de terceros.

Vinculan claves públicas no modificables a identidades organizativas

Ahora, después de validar la organización en cuestión, la CA vincula la identidad verificada a las claves públicas de la organización. Piensa en esto como el sello oficial de tu pasaporte. Esto ayuda a demostrar que tu identidad es genuina y está verificada.

Entonces, ¿qué hace que esta clave pública sea tan excelente? Básicamente, cuando se genera una clave mediante algoritmos criptográficos seguros y la entropía adecuada (aleatoriedad), estas claves son esencialmente «imposibles de falsificar». Esto significa que no se pueden alterar o modificar de ninguna manera sin que se detecten esos cambios.

Tipos de certificados X.509

Puede que te sorprenda saber que en realidad hay más de un tipo de certificado X 509. Hay muchos y se utilizan para diferentes propósitos. Para ayudarte a comprender las diferencias entre ellos, revisaremos cada ejemplo de certificado X.509 individual para desglosar qué son y por qué son útiles.

Certificados TLS

Comencemos con el certificado X.509 más popular y de uso común. Un certificado TLS, también conocido como certificado de seguridad del sitio web, permite que tu navegador se conecte e intercambie datos de forma segura con el servidor de un sitio web. ¿Ves ese candado en la barra de direcciones web de tu navegador? Sí, eso significa que tu navegador envía y recibe datos del servidor del sitio web a través de una conexión segura y cifrada. Esto se conoce como cifrado de datos en tránsito.

Es por eso que hay » HTTPS » en la URL en lugar de solo «HTTP». Básicamente, HTTPS = el protocolo seguro de transporte de hipertexto. HTTP = protocolo de transporte de hipertexto inseguro. Un protocolo es un conjunto de reglas que dictan cómo los dispositivos intercambian datos a través de redes e Internet. Existe una amplia variedad de protocolos diferentes que son útiles para diferentes aplicaciones.

Siempre que una organización tiene un certificado TLS instalado en sus servidores, significa que los intercambios de datos que tienen lugar en el sitio utilizan el protocolo de seguridad de la capa de transporte (TLS). Los certificados TLS también se conocen como certificados SSL porque los certificados de sitios web utilizaban anteriormente el protocolo de capa de sockets seguros (SSL) para intercambiar datos. (SSL es ahora un protocolo obsoleto). TLS reemplazó a SSL como el protocolo de referencia para las transmisiones de datos seguras.

Certificados SSL vs TLS

Entonces, ¿por qué la gente a veces los llama certificados SSL en lugar de certificados TLS? Francamente, se debe a que las personas tardan en cambiar, especialmente en lo que respecta a los términos que utilizan. Por lo tanto, a menudo escucharás a la gente llamándolos certificados SSL en lugar de certificados TLS.

No importa. Solo debes saber que estamos hablando de certificados SSL / TLS, realmente estamos hablando de certificados TLS.

Tipos de certificados SSL / TLS

Los certificados SSL / TLS son certificados X.509 que normalmente se clasifican por validación y funcionalidades. Pueden emitirse con validación DV, OV o EV. Hay varios tipos de certificados que están disponibles dependiendo de las funciones que necesita que llenen:

  • Certificados SSL / TLS de dominio único: estos certificados son excelentes para proteger las versiones WWW y no WWW de un dominio que controlas.
  • Certificados SSL / TLS de múltiples dominios: estos certificados te permiten proteger varios dominios en un certificado al enumerar dominios adicionales como dominios de nombre alternativo de sujeto (SAN).
  • Certificados Wildcard SSL / TLS: estos certificados te permiten proteger un número ilimitado de subdominios en un solo nivel.
  • Certificados SSL / TLS comodín multidominio: estos son los tipos de certificados SSL / TLS que más se adaptan a todos. Digo eso porque te permiten asegurar un número ilimitado de subdominios en todos los niveles para múltiples dominios y SAN.

Certificados de firma de código

El siguiente tipo de certificado X.509 que cubriremos se conoce como certificado de firma de código. Estos certificados sirven como una forma para que los desarrolladores y editores de software afirmen su identidad de editor. Esto ayuda a proteger la integridad del software y su código.

La forma en que el certificado ayuda en el esfuerzo es permitiendo que el creador del software coloque una firma digital en su código, script o ejecutable.

Un certificado de firma de código hace que la información de editor verificada se complete en el campo de editor. De esta manera, ya no solo dice «Desconocido» o «Sin verificar».

Certificados de firma de correo electrónico

Estos certificados X.509, que también se conocen como certificados S / MIME o certificados de autenticación personal (PAC), son una excelente manera de enviar correos electrónicos de forma segura y autenticarse en servidores y otros dispositivos. Te permiten:

  • Autenticarte ante tus destinatarios: esto le demuestra a tu destinatario que fuiste tu quien lo envió (y que no eres un impostor).
  • Firmar digitalmente los correos electrónicos: esto le demuestra a tu destinatario que los datos y el contenido de tu correo electrónico no se han modificado de ninguna manera desde que se envió. Incluye información que muestra cómo se firmó criptográficamente el certificado y en qué fecha y hora se firmó.
  • Cifrar los datos de tu correo electrónico: el mensaje y cualquier archivo adjunto dentro del correo electrónico antes de presionar «enviar». Esto se conoce como cifrado de datos en reposo. Sin embargo, para enviar un correo electrónico cifrado, tanto tu como tu destinatario deben utilizar un certificado de firma de correo electrónico. Esto es necesario porque debes obtener una copia de la clave pública del destinatario antes de enviar un correo electrónico cifrado.

Estos certificados también se conocen como certificados de autenticación personal porque son útiles para autenticar a los usuarios (o, más específicamente, a los clientes en sus dispositivos correspondientes) a través de la autenticación bidireccional. Este tipo de autenticación te permite acceder a aplicaciones, sitios, servidores o dispositivos específicos.

Certificados de firma de documentos

Estos certificados digitales X.509 permiten a los usuarios firmar digitalmente los documentos que crean (documentos de Word, PDF, etc.). Esto permite que el creador del documento demuestre que creó el documento y que no ha sido alterado o modificado de ninguna manera. Básicamente, está validando la integridad del documento para que la gente sepa que es seguro de usar.

Revocación

Los certificados X.509 que deben invalidarse antes de su fecha de No Válido después de que puedan ser revocados. Como se mencionó anteriormente, RFC 5280 perfila listas de revocación de certificados (CRL), listas con marcas de tiempo de certificados revocados que pueden ser consultados por navegadores y otro software cliente.

En la Web, las CRL han demostrado ser ineficaces en la práctica y han sido reemplazadas por otras soluciones para la verificación de revocación, incluido el protocolo OCSP (publicado en RFC 2560 ), OCSP Stapling (publicado en RFC 6066, sección 8 , como «Solicitud de estado de certificado») y una variedad de soluciones específicas de proveedores implementadas en varios navegadores web.

¿Qué es el conjunto de estándares de infraestructura de clave pública X.509?

La infraestructura de clave pública (PKI) es la base de la seguridad global de Internet tal como la conocemos hoy. Los estándares internacionales X.509 es un documento que define el formato, los procesos y las entidades involucradas en la creación, gestión y revocación de certificados digitales de clave pública. También cubre técnicas criptográficas asimétricas y cómo se emparejan las identidades con pares de claves criptográficas.

En 1988, dos organizaciones internacionales de normalización establecieron comités para colaborar y crear un conjunto de normas para tratar los aspectos técnicos de los certificados de clave pública. Este conjunto de estándares se conoce como los estándares de infraestructura de clave pública X.509, y ha habido varias versiones de estos estándares que se han lanzado durante las últimas tres décadas.

Las dos organizaciones que participaron en la creación de los estándares son:

  • La Organización Internacional de Normalización (ISO) , y
  • El Comité Consultivo Internacional Telegráfico y Telefónico (Comité Consultatif International Téléphonique et Télégraphique, o CCITT ), que más tarde se convirtió en el sector de normalización de las Telecomunicaciones de la Unión Internacional de Telecomunicaciones ( UIT-T ).

El proceso también involucra ahora a la Comisión Electrotécnica Internacional (IEC) , que tiene un comité conjunto con ISO. Juntas, estas tres organizaciones desarrollan los estándares internacionales que las empresas y tecnologías de todo el mundo utilizan hoy en día.

Se han realizado alrededor de 30 actualizaciones a los estándares de infraestructura de clave pública X.509 desde que se lanzaron por primera vez desde 1988. La última versión del documento de estándares X.509 se publicó en octubre de 2019.

Conclusión

Para resumir el punto de todo este artículo, los certificados X.509 (también conocidos como certificados de clave pública) son parte integral de la seguridad de los datos y la autenticación de las comunicaciones a través de redes e Internet. Muchos tipos de intercambios de datos y sus protocolos aplicables se basan en certificados X.509. Vienen con diferentes niveles de validación y también tienen diferentes funcionalidades.

Hoy en día, los certificados X.509 son útiles para muchas tareas, que incluyen:

  • Autenticar clientes, servidores y otros dispositivos, así como personas y organizaciones.
  • Garantizar la integridad de correos electrónicos, software y código, documentos digitales y diversas transmisiones de datos.
  • Para proteger los intercambios de datos para sitios web y comunicaciones por correo electrónico mediante cifrado. Esto ayuda a proteger los datos tanto en tránsito como en reposo.

Espero que este artículo responda a tus preguntas sobre qué son los certificados X.509 y cómo los utilizan los sitios web, las empresas, las organizaciones y las personas de todo el mundo.