Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

Diferencia entre certificados raíz e intermedios

Si está en proceso de obtener un certificado SSL para su sitio web, es probable que se encuentre con dos términos: certificados raíz y certificados intermedios. Es obvio confundirse entre los dos términos.

La diferencia clave entre los certificados raíz y los intermedios es que los certificados raíz tienen sus propias raíces de confianza en los almacenes de confianza de los principales navegadores. En cambio, las autoridades de certificación intermedias emiten certificados que se basan en un certificado raíz y remiten a una autoridad raíz externa de confianza.

Bueno, ¿ha sido demasiada información para digerir? No se preocupe. En este artículo se lo explicaremos todo con detalle. Pero primero repasemos lo básico. 

Certificado CA raíz

¿Cómo funciona SSL ?

Infraestructura de clave pública

SSL sigue básicamente una implementación de par de claves privada-pública. Los datos del sitio se encriptan a partir de una clave privada, y sólo los visitantes con la clave pública adecuada pueden acceder al sitio. La clave pública se distribuye a los visitantes en forma de archivo de certificado que se utiliza cada vez que un usuario intenta acceder a un sitio. 

Si el certificado del sitio no es válido, significa que el sitio no ha sido debidamente verificado y presenta una amenaza potencial. Existen varios niveles de certificación que un sitio puede adoptar, cada uno con distintos niveles de confianza y procesos de validación. 

Los certificados son expedidos por las autoridades certificadoras competentes, que llevan a cabo su propia investigación para comprobar si el sitio que solicita un certificadoSSL es auténtico o no. Y cada certificado tiene una fecha de caducidad, después de la cual se considera inválido y debe renovarse para continuar con las funciones de protección de SSL . 

Como puedes ver, SSL es un mecanismo que permite a los usuarios saber si el sitio al que se están conectando ha sido debidamente validado por una autoridad certificadora y es realmente el sitio genuino al que quieren acceder. Sin SSL, no habrá cifrado, y además se corre el riesgo de que se produzcan violaciones de datos y vulnerabilidades de seguridad. 

Firmas digitales

Se puede considerar que las firmas digitales son la pieza de información digital que verifica un archivo de certificado concreto. Es similar a la forma en que notarizamos documentos físicos con un notario cualificado. En la cadena de certificados de SSL , cada componente, ya sea un certificado o una clave pública, estará firmado con un certificado adecuado. 

Al ser cargados por un navegador, los sitios SSL recibirán los certificados y la clave pública asociada al sitio. Una vez recibidos, la aplicación del navegador verificará la autenticidad del certificado con ayuda de la clave pública. Comprobará la firma digital del archivo del certificado y enlazará con el certificado que lo firmó. Este proceso de verificación de las firmas digitales continuará hasta llegar al último certificado de la cadena de certificados. 

Cadenas de certificados

La clave pública o el proceso de emisión de certificados consta de muchos servicios relacionados con la seguridad que imponen el uso adecuado de los pares de claves pública/privada. Habrá una cadena de certificados utilizada a lo largo del proceso que puede no ser accesible para el usuario final. Esta cadena de certificados también se denomina cadena de confianza o ruta de certificación.

Cada cadena de certificados tiene una lista de certificados, incluyendo el certificado final de usuario final y uno o más certificados de CA (autoridad de certificación), y un certificado autofirmado. Cada certificado tiene las siguientes propiedades:

  • Los datos del emisor del certificado. Este valor coincidirá con el asunto del siguiente certificado de la cadena, a excepción del último certificado de la cadena. 
  • Para firmar cada certificado se utilizará la clave secreta del siguiente certificado de la cadena. Una vez más, no es necesario que el último certificado de la cadena tenga este proceso de firma con clave secreta. 
  • El último certificado de una cadena de certificados, como ya se ha mencionado, difiere de los demás certificados. Se denomina ancla de confianza y siempre lo emite una entidad en la que se puede confiar, como una autoridad de certificación (CA) válida. Generalmente se le denomina certificado de CA. Sólo una autoridad de certificación verificada y de alta confianza puede emitir estos certificados raíz, ya que son las anclas de confianza en una cadena de certificados.


Supongamos que una cadena de certificados no puede enlazar con un certificado raíz válido. En ese caso, se considerará inválida y la aplicación del usuario final no considerará que el sitio web correspondiente procede de una fuente de confianza.

Jerarquía de certificados

La cadena de certificados o cadena de confianza define el vínculo entre los certificados reales de SSL y la CA de confianza. Para que cualquier certificado de SSL se considere válido, debe remontarse a una CA válida. 

Cuando almacenes el certificado de un nuevo sitio web al que intentas conectarte, podrás ver el certificado para obtener más detalles y conocer la jerarquía de certificados. El primer certificado que posea será el certificado raíz, seguido de las CA intermedias y, a continuación, el certificado final deberá apuntar a una CA válida. 

Certificado raíz

Este es un archivo de certificado digital emitido por la CA y viene con todos los sitios que utilizan la protección SSL . Su navegador navegador web descargará este archivo y lo almacenará en un almacén de confianza. Todos los certificados raíz están cuidadosamente custodiados por las CA que los emiten.

Certificado intermedio

Son los siguientes al certificado raíz en la jerarquía de certificados. Son como ramas de los certificados raíz que actúan como intermediarios entre éstos y los certificados públicos del certificados de servidor emitidos al público. Es habitual encontrar un solo certificado intermedio para la mayoría de las cadena de certificadoss, pero también es posible encontrar más certificados intermedios.

Certificado de servidor

Es el certificado emitido por la CA para el dominio que necesita implementar el protocolo SSL . 

Como las cadenas de certificados se utilizan para validar el certificado de usuario final y comprobar si procede realmente de una CA de confianza, cada certificado de una cadena contiene una firma digital que corresponde al siguiente certificado del enlace, que conduce al certificado de anclaje de confianza. Alcanzar el certificado de anclaje de confianza significa que se puede confiar en el certificado del usuario final, ya que se puede rastrear hasta un anclaje de confianza emitido por una CA adecuada. 

Programa raíz

Como puede ver, el certificado raíz es la parte más importante de una cadena de confianza, ya que es el que se utiliza para validar un certificado de usuario final. A programa raíz ayuda a gestionar los certificados raíz, y sus claves públicas en el dispositivo en una ubicación particular llamada almacén raíz.

La ubicación e implementación de este almacén de root puede variar en función del sistema operativo del dispositivo o de cualquier otra aplicación de terceros utilizada. Algunos de los programas de raíz populares son proporcionados por:

  • Microsoft
  • Manzana
  • Google
  • Mozilla


Aunque la implementación real puede variar entre estos programas raíz, todos siguen algunas directrices y normativas estrictas establecidas por los requisitos básicos del foro CA/B. Algunos programas raíz también pueden imponer restricciones adicionales para validar los archivos de certificado.

¿Por qué es importante un certificado raíz?

Un certificado raíz es la parte más crítica del protocolo SSL ya que cualquier certificado firmado con su clave privada será de confianza para todos los navegadores. Por lo tanto, se tomarán precauciones adicionales para asegurarse de que es una CA válida la que emite el certificado raíz. Es el certificado raíz el que establece el factor de confianza que añade credibilidad a un sitio.

Una CA válida tiene que someterse a varias verificaciones y procedimientos de conformidad para ser considerada lo suficientemente fiable como para emitir certificados raíz. Así pues, es a través de un certificado raíz como se establece el anclaje de confianza de una CA, que se correlaciona directamente con los sitios que hacen uso de los certificados de seguridad firmados proporcionados por la CA. 

¿Por qué se utilizan los certificados intermedios?

Aunque el certificado raíz basta por sí solo para aplicar la seguridad de SSL , en la práctica, la mayoría de las CA recurren a certificados intermedios. Ello se debe a las dificultades prácticas que conlleva la obtención de las cualificaciones esenciales necesarias para expedir una CA. 

En la mayoría de los casos generales, una CA comienza con la emisión de certificados cruzados. Estos certificados digitales son emitidos por una CA que enlaza con una clave pública de un certificado raíz emitido por otra CA bien establecida. 

Una autoridad certificadora principiante que acaba de iniciar sus operaciones puede no tener aún las cualificaciones necesarias para emitir un certificado raíz. Por ello, utilizará los servicios de otra CA bien establecida y vinculará sus certificados a un certificado raíz válido, formando así la cadena de confianza. Un único certificado raíz de confianza estará vinculado a otros múltiples certificados intermedios con certificados cruzados, lo que permitirá a los usuarios obtener una cadena de confianza válida para su implementación de SSL . 

Una vez que la CA obtenga la validación necesaria y se considere digna de confianza para emitir sus propios certificados raíz, sustituirá el anclaje de confianza por sus propios certificados raíz. Y las raíces correspondientes se añadirán al almacén de raíces. 

Así, los certificados intermedios sirven de puente entre una CA intermedia y un certificado raíz de confianza. Se utilizan para que las CA en crecimiento se establezcan y ayuden a crear una base de consumidores. Tras una validación adecuada, emitirán sus propios certificados raíz completando la cadena de confianza sin la ayuda de otra CA. 

A continuación se enumeran otras razones por las que se utilizan certificados intermedios 

  • Los certificados intermedios ayudan a controlar el número de certificados raíz en uso y contribuyen a mitigar los riesgos de seguridad y el fraude. A medida que más y más usuarios implementan sitios SSL , el número de CA raíz también aumentará. Pero tener demasiadas CA raíz puede acarrear graves implicaciones de seguridad, que los certificados intermedios pretenden resolver. Proporcionan un medio para que las CA raíz deleguen parte de las responsabilidades de emisión de certificados en las CA intermedias, proporcionando certificados intermedios que sustituirán a un certificado raíz.
  • Los certificados intermedios pueden replicarse en grandes cantidades sin comprometer el marco de seguridad y ayudando a establecer la cadena de confianza. 
  • Ayudan a la implantación escalable de la red SSL . 

 

Casi todas las CA de confianza utilizan certificados intermedios, ya que añaden una capa adicional de seguridad y ayudan a gestionar los incidentes de seguridad con elegancia. En caso de ataque a la seguridad, sólo es necesario revocar el certificado intermedio en lugar de revocar el certificado raíz y todos los certificados asociados que se han utilizado para firmar.

Al revocar únicamente el certificado intermedio en cuestión, sólo se verá afectado el grupo de certificados que están en la misma cadena que el certificado intermedio, minimizando así el coste y el impacto del incidente de seguridad.

¿Qué hace especial a un certificado raíz?

Un anclaje de confianza o el certificado raíz es un tipo especial de certificado SSL del formato X.509. Puede existir por sí mismo o también puede utilizarse para emitir otros certificados intermedios. He aquí algunas características más de una CA raíz que la hacen especial. 

  • La vida útil de una CA raíz es mucho mayor que la de un certificado normal de TLS/SSL . Puede llegar a 25 años, en comparación con la vida útil limitada a 1 o 2 años de un certificado normal. 
  • Cada CA de confianza puede tener varios certificados raíz, cada uno de los cuales difiere en sus atributos, como la firma digital utilizada. Las propiedades de los certificados pueden consultarse desde las aplicaciones del almacén raíz. 
  • A través del certificado raíz se firma una clave pública y se validan otros certificados. Si un enlace de cadena de certificado intermedio no remite a un certificado raíz, se considerará inválido. 


Una CA autorizada a emitir certificados raíz debe seguir unas normas y un cumplimiento estrictos para conseguir el estatus que le permite emitir certificados raíz. Una CA raíz debe reunir los requisitos en dos contextos específicos para ser autorizada a emitir certificados raíz.

Confianza social

  • La confianza social se refiere a las diversas auditorías, normas, reglamentos y escrutinio público a los que debe someterse la CA para ser considerada digna de confianza. También puede aplicarse a la percepción de la marca y la imagen de la AC en el mercado.

 

Confianza técnica

  • La confianza técnica se refiere a la solidez y seguridad técnica de la CA raíz en lo que respecta a la implementación de sus certificados y medidas de seguridad. Sólo una CA técnicamente sólida podrá ganarse la confianza social necesaria para funcionar a largo plazo. 

Cómo saber la diferencia entre el certificado raíz y un certificado intermedio

Averiguar si un certificado es raíz o intermedio es bastante fácil y se puede deducir directamente mirando los detalles del almacén raíz. A continuación se explica cómo conocer los detalles de un certificado.  

Haga clic en el certificado del almacén raíz y ábralo para ver sus detalles. 

Vaya a la Ruta de verificación del certificado. Podrá ver los distintos niveles de la ruta del certificado. También puede recopilar más detalles como la CA que emitió el certificado, la CA a la que se emite el certificado y la vida útil del certificado. 

Estos son los marcadores que muestran que un certificado es un certificado raíz. 

  • La ruta del certificado sólo contiene un nivel. 
  • Los valores emitido a y emitido por apuntan a la misma CA. 
  • El certificado tiene una validez de más de dos años. La validez de un certificado raíz suele ser de hasta 25 años, mientras que las CA intermedias tienen apenas uno o dos años de validez. 


La aplicación Tienda raíz de Windows facilita la diferenciación entre los certificados, ya que los clasifica en diferentes categorías. Puede encontrar los certificados raíz en Autoridades de certificación raíz de confianza y los certificados intermedios en Autoridades de certificación intermedias. 

Más implicaciones del sistema radicular encadenado

Aunque la implementación de raíz encadenada es la más utilizada, también presenta ciertas complicaciones de implementación.

  • La instalación de la raíz encadenada puede ser un proceso complejo, ya que los certificados intermedios tendrán que cargarse en cada servidor y aplicación que utilice un certificado de la cadena. 
  • Las raíces encadenadas dependen en gran medida del anclaje de confianza al que están encadenadas. Los certificados intermedios no tienen control sobre el certificado raíz. Si la CA raíz quebrara, las CA intermedias dependientes también tendrían que hacerlo. 
  • Otra complicación en la implantación de certificados intermedios es la vida útil de los certificados. En general, los certificados raíz tienen una vida comparativamente mucho más larga, de 25 años. Y los certificados intermedios deben tener siempre una fecha de caducidad inferior a la de su ancla de confianza. Esto puede aumentar la complejidad de la instalación, ya que si un certificado raíz se acerca a su fecha de caducidad, todos sus certificados intermedios deben caducar antes de esa fecha. 


Sin duda, gestionar certificados y entender todos los tecnicismos implicados es todo un reto. Ahora ya no. Confíe en Keyfactor para todas sus necesidades relacionadas con certificados de seguridad, ¡y relájese! Póngase en contacto con nosotros para obtener más información hoy mismo.

¿Tiene alguna pregunta sobre certificados? Descubra cómo la plataforma Keyfactor puede modernizar su PKI, evitar interrupciones de certificados y mucho más.