La diferencia entre certificados raíz y certificados intermedios

¿Cómo funciona SSL?

Infraestructura de Clave Pública

SSL sigue una implementación de pares de claves privadas y públicas. Los datos del sitio se cifran basándose en una clave privada, y solo los visitantes con laclave públicacorrecta pueden acceder al sitio. La clave pública se distribuye a los visitantes en forma de un archivo de certificado que se utiliza cada vez que un usuario intenta acceder a un sitio. 

Si el certificado del sitio no es válido, significa que el sitio no ha sido verificado correctamente y presenta una amenaza potencial. Existen varios niveles de certificación que un sitio puede adoptar, cada uno con diferentes niveles de confianza y procesos de validación. 

Los certificadosson emitidos por autoridades certificadoras competentes, que llevan a cabo su propia investigación para determinar si el sitio que solicita unSSL es auténtico o no. Además, cada certificado tiene una fecha de caducidad, tras la cual se considera inválido y debe renovarse para continuar con las funciones SSL . 

Como puede ver, SSL un mecanismo que permite a los usuarios saber si el sitio al que se conectan ha sido validado correctamente por una autoridad certificadora y es realmente el sitio auténtico al que desean acceder. Sin SSL, no habrácifrado y también correrá el riesgo de sufrir violaciones de datos y vulnerabilidades de seguridad. 

Firmas digitales

Las firmas digitalespueden considerarse como la información digital que verifica un archivo de certificado concreto. Es similar a cómo certificamos los documentos físicos ante un notario cualificado. En la cadena SSL , cada componente, ya sea un certificado o una clave pública, se firmará con un certificado adecuado. 

Cuando un navegador carga sitios SSL, estos recibirán los certificados y la clave pública asociada al sitio. Una vez recibidos, la aplicación del navegador verificará la autenticidad del certificado con la ayuda de la clave pública. Comprobará la firma digital del archivo del certificado y lo vinculará al certificado que lo firmó. Este proceso de verificación de firmas digitales continuará hasta alcanzar el certificado final en la cadena de certificados. 

Cadenas de certificados

La clave pública o el proceso de emisión de certificados consta de muchos servicios relacionados con la seguridad que garantizan el uso adecuado de los pares de claves públicas/privadas. A lo largo del proceso se utilizará una cadena de certificados a la que el usuario final puede no tener acceso. Esta cadena de certificados también se denominacadena de confianzao ruta de certificación. 

Cada cadena de certificados contiene una lista de certificados, que incluye el certificado final del usuario, uno o más certificados de CA (autoridad de certificación) y un certificado autofirmado. Cada certificado posee las siguientes propiedades:

• Los detalles del emisor del certificado. Este valor coincidirá con el sujeto del siguiente certificado en la cadena, excepto en el caso del último certificado de la misma. 
• Se utilizará una clave secreta para el siguiente certificado de la cadena para firmar cada certificado. Una vez más, el último certificado de la cadena no necesita este proceso de firma con clave secreta. 
• El último certificado de una cadena de certificados, como se mencionó anteriormente, difiere de otros certificados. Se denomina ancla de confianza y siempre es entregado por una entidad fiable, como una autoridad de certificación (CA) válida. Generalmente se le conoce como certificado de CA. Solo una autoridad de certificación verificada y de alta confianza puede emitir este tipo de certificados raíz, ya que son los anclas de confianza en una cadena de certificados.

Si una cadena de certificados no puede vincularse a un certificado raíz válido, se considerará inválida y la aplicación del usuario final no considerará que el sitio web correspondiente provenga de una fuente de confianza.

Jerarquía de certificados

La cadena de certificados o cadena de confianza define el vínculo entre sus certificados SSL reales y la CA de confianza. Para que cualquier certificado SSL se considere válido, debe poder rastrearse hasta una CA válida. 

Cuando almacena el certificado de un nuevo sitio web al que intenta conectarse, puede ver el certificado para obtener más detalles y la jerarquía de certificados. El primer certificado que poseerá será el certificado raíz, seguido de las CA intermedias, y luego el certificado final debería apuntar a una CA válida. 

Certificado raíz

Se trata de un archivo de certificado digital emitido por la CA y que acompaña a todos los sitios que utilizan SSL . Sunavegador webdescargará este archivo y lo almacenará en un almacén de confianza. Todos los certificados raíz están cuidadosamente protegidos por las CA que los emiten. 

Certificado intermedio

Estos vienen después del certificado raíz en la jerarquía de certificados. Son como ramificaciones de los certificados raíz que actúan como intermediarios entre los certificados raíz y loscertificados de servidorpúblico emitidos al público. Es habitual encontrar un solo certificado intermedio para la mayoríade las cadenas de certificados, pero también es posible encontrar más certificados intermedios. 

Certificado de servidor

Este es el certificado emitido por la CA al dominio que necesita implementar el protocolo SSL. 

Dado que las cadenas de certificados se utilizan para validar el certificado del usuario final y determinar si realmente proviene de una CA de confianza, cada certificado de una cadena contiene una firma digital que corresponde al siguiente certificado en el enlace, lo que lleva al certificado de ancla de confianza. Alcanzar el certificado de ancla de confianza significa que el certificado del usuario final puede ser de confianza, ya que puede rastrearse hasta un ancla de confianza emitida por una CA adecuada. 

Programa raíz

Como puede ver, el certificado raíz es la parte más importante de una cadena de confianza, ya que es el que se utiliza para validar el certificado de un usuario final. Unprograma raízayuda a gestionar los certificados raíz y sus claves públicas en el dispositivo, en una ubicación concreta denominada almacén raíz. 

La ubicación e implementación de este almacén raíz pueden variar según el sistema operativo del dispositivo o cualquier otra aplicación de terceros utilizada. Algunos de los programas raíz populares son proporcionados por:

• Microsoft
• Apple
• Google
• Mozilla

Aunque la implementación real puede variar entre estos programas raíz, todos siguen estrictas directrices y regulaciones establecidas por los requisitos base del foro CA/B. Algunos programas raíz también pueden imponer restricciones adicionales para validar los archivos de certificados.

¿Por qué es importante un certificado raíz?

Un certificado raíz es la parte más importante del SSL , ya que cualquier certificado firmado con su informaciónde clave privadaserá considerado de confianza por todos los navegadores. Por lo tanto, se tomarán precauciones adicionales para garantizar que una CA válida emita efectivamente el certificado raíz. Es el certificado raíz el que establece el factor de confianza que añade credibilidad a un sitio web. 

Una CA válida debe someterse a diversas verificaciones y procedimientos de cumplimiento para ser considerada lo suficientemente fiable como para emitir certificados raíz. Así, es a través de un certificado raíz que se establece el ancla de confianza para una CA, lo que se correlaciona directamente con los sitios que utilizan los certificados de seguridad firmados proporcionados por dicha CA. 

¿Por qué se utilizan los certificados intermedios?

Aunque el certificado raíz por sí mismo es suficiente para implementar la seguridad SSL, en la práctica, la mayoría de las CA utilizan certificados intermedios. Esto se debe a las complejidades prácticas que implica la obtención de las cualificaciones esenciales requeridas para emitir una CA. 

En la mayoría de los casos, una CA comienza emitiendo certificados cruzados. Estos certificados digitales son emitidos por una CA que se vincula a la clave pública de un certificado raíz emitido por otra CA ya establecida. 

Una autoridad de certificación principiante que recién inicia sus operaciones puede no contar aún con las cualificaciones necesarias para emitir un certificado raíz. Por ello, utilizará los servicios de otra CA bien establecida y vinculará sus certificados a un certificado raíz válido, formando así la cadena de confianza. Un único certificado raíz de confianza se vinculará a múltiples otros certificados intermedios con certificados cruzados, permitiendo a los usuarios obtener una cadena de confianza válida para su implementación SSL. 

Una vez que la CA obtiene la validación necesaria y se considera lo suficientemente fiable para emitir sus propios certificados raíz, reemplazará el ancla de confianza con sus propios certificados raíz. Y las raíces correspondientes se añadirán al almacén de raíces. 

Así, los certificados intermedios sirven para salvar la brecha entre una CA intermedia y un certificado raíz de confianza. Se utilizan para permitir que las empresas de CA en crecimiento se afiancen y ayuden a establecer una base de consumidores. Tras una validación adecuada, emitirán sus propios certificados raíz, completando la cadena de confianza sin la ayuda de otra CA. 

A continuación se enumeran algunas razones adicionales por las que se utilizan los certificados intermedios 

• Los certificados intermedios ayudan a controlar el número de certificados raíz en uso y contribuyen a mitigar los riesgos de seguridad y el fraude. A medida que más y más usuarios implementan SSL , el número deCA raíztambién aumentará. Sin embargo, tener demasiadas CA raíz puede acarrear graves consecuencias para la seguridad, algo que los certificados intermedios pretenden resolver. Estos proporcionan un medio para que las CA raíz deleguen algunas de las responsabilidades de emisión de certificados a las CA intermedias, proporcionando certificados intermedios que sustituirán a un certificado raíz. 
• Los certificados intermedios pueden replicarse en gran número sin comprometer el marco de seguridad y contribuyendo a establecer la cadena de confianza. 
• Contribuyen a la implementación escalable de la red SSL. 

Casi todaslas CA de confianzautilizan certificados intermedios, ya que añaden una capa adicional de seguridad y ayudan a gestionar los incidentes de seguridad con elegancia. En caso de un ataque de seguridad, solo es necesario revocar el certificado intermedio, en lugar de revocar el certificado raíz y todos los certificados asociados que se han utilizado para firmar. 

Al revocar solo el certificado intermedio en cuestión, únicamente se verá afectado el grupo de certificados que se encuentran en la misma cadena que dicho certificado intermedio, minimizando así el costo y el impacto del incidente de seguridad.

¿Qué hace especial a un certificado raíz?

Un ancla de confianza o el certificado raíz es un tipo especial de certificado SSL en formato X.509. Puede existir por sí mismo o también puede utilizarse para emitir otros certificados intermedios. A continuación, se presentan algunas características adicionales de una CA raíz que la hacen especial. 

• La vida útil de una CA raíz es mucho más larga que la de un certificado TLS/SSL regular. Puede ser de hasta 25 años, en comparación con la vida útil limitada habitual de 1 o 2 años de un certificado regular. 
• Cada CA de confianza puede tener varios certificados raíz, cada uno difiriendo en sus atributos, como la firma digital utilizada. Las propiedades del certificado se pueden ver desde las aplicaciones del almacén de raíces. 
• Es a través del certificado raíz que se firma una clave pública y se validan otros certificados. Si un enlace de la cadena de certificados intermedios no se remonta a un certificado raíz, se considerará inválido. 

Una CA autorizada para emitir certificados raíz debe seguir estrictas normas y reglas de cumplimiento para lograr el estatus que les permite emitir certificados raíz. Una CA raíz debe calificar bajo dos contextos específicos para ser autorizada a emitir certificados raíz.

Confianza social

• La confianza social se refiere a las diversas auditorías, reglas, regulaciones y el escrutinio público a los que la CA debe someterse para ser considerada fiable. También puede aplicarse a la marca y la percepción de la imagen de la CA en el mercado.

Confianza técnica

• La confianza técnica se refiere a cuán sólida y segura es la CA raíz desde el punto de vista técnico en lo que respecta a sus implementaciones de certificados y medidas de seguridad. Solo una CA técnicamente sólida podrá obtener la confianza social necesaria para funcionar a largo plazo. 

Cómo saber la diferencia entre el certificado raíz y un certificado intermedio

Determinar si un certificado es raíz o intermedio es bastante fácil y se puede inferir directamente al observar los detalles en el almacén de raíces. A continuación, se explica cómo puede conocer los detalles de un certificado.  

Haga clic en el certificado desde el almacén de raíces y ábralo para ver sus detalles. 

Vaya a la Ruta de Verificación del Certificado. Podrá ver los distintos niveles en la ruta del certificado. También puede recopilar detalles adicionales como la CA que emitió el certificado, la CA a la que se emitió el certificado y la vida útil del mismo. 

Estos son los indicadores que demuestran que un certificado es un certificado raíz. 

• La ruta del certificado contiene un solo nivel. 
• Los valores 'emitido para' y 'emitido por' apuntan a la misma CA. 
• El certificado tiene un periodo de validez superior a dos años. La validez de un certificado raíz suele ser de hasta 25 años, mientras que las CA intermedias tienen una validez de solo uno o dos años. 

La aplicación de almacén de raíces de Windows facilita la diferenciación entre los certificados, ya que los clasifica en distintas categorías. Los certificados raíz se encuentran en las Autoridades de Certificación Raíz de Confianza y los certificados intermedios en las Autoridades de Certificación Intermedias. 

Más implicaciones del sistema radicular encadenado

Aunque la implementación de raíz encadenada es la más utilizada, también presenta ciertas complicaciones en su aplicación.

• La instalación de una raíz encadenada puede ser un proceso complejo, ya que los certificados intermedios deberán cargarse en cada servidor y aplicación que utilice un certificado de la cadena. 
• Las raíces encadenadas dependen en gran medida del ancla de confianza a la que están encadenadas. Los certificados intermedios no tienen control sobre el certificado raíz. Si la CA raíz cesara su actividad, las CA intermedias dependientes también dejarían de funcionar con ella. 
• Otra complicación en la implementación de certificados intermedios es la vida útil de los certificados. En general, los certificados raíz tienen una vida útil comparativamente mucho más larga, de 25 años. Y los certificados intermedios siempre deben tener su fecha de caducidad establecida por debajo de la de su ancla de confianza. Esto puede aumentar la complejidad de la instalación, ya que, si un certificado raíz se acerca a su fecha de caducidad, todos sus certificados intermedios deben caducar antes de esa fecha. 

Sin duda, gestionar certificados y comprender todas las complejidades técnicas que implican es un desafío. Pero ya no. Confíe en Keyfactor para todas sus necesidades relacionadas con certificados de seguridad, ¡y relájese! Contáctenos hoy mismo para obtener más información.