Autoridad certificada
En criptografía , una autoridad certificadora o autoridad certificadora ( CA ) es una entidad que emite certificados digitales . Un certificado digital certifica la propiedad de una clave pública por parte del sujeto designado del certificado. Esto permite que otros (partes que confían) confíen en las firmas o en las afirmaciones realizadas sobre la clave privada que corresponde a la clave pública certificada. Una CA actúa como un tercero de confianza, en el que confían tanto el sujeto (propietario) del certificado como la parte que confía en el certificado. El formato de estos certificados viene especificado por el estándar X.509 o EMV .
Un uso particularmente común para las autoridades de certificación es firmar certificados utilizados en HTTPS , el protocolo de navegación segura para la World Wide Web. Otro uso común es la emisión de tarjetas de identidad por parte de los gobiernos nacionales para su uso en la firma electrónica de documentos. [1]
Los certificados de confianza se pueden utilizar para crear conexiones seguras a un servidor a través de Internet. Un certificado es esencial para eludir a una parte malintencionada que se encuentra en la ruta hacia un servidor objetivo que actúa como si fuera el objetivo. Tal escenario se conoce comúnmente como un ataque man-in-the-middle . El cliente usa el certificado de CA para autenticar la firma de CA en el certificado del servidor, como parte de las autorizaciones antes de iniciar una conexión segura. [2] Por lo general, el software del cliente, por ejemplo, los navegadores, incluyen un conjunto de certificados de CA de confianza. Esto tiene sentido, ya que muchos usuarios necesitan confiar en el software de su cliente. Un cliente malicioso o comprometido puede omitir cualquier control de seguridad y aun así engañar a sus usuarios haciéndoles creer lo contrario.
Los clientes de una CA son supervisores de servidores que solicitan un certificado que sus servidores otorgarán a los usuarios. Las CA comerciales cobran dinero por emitir certificados, y sus clientes anticipan que el certificado de la CA estará contenido en la mayoría de los navegadores web, de modo que las conexiones seguras a los servidores certificados funcionen de manera eficiente desde el primer momento. La cantidad de navegadores de Internet, otros dispositivos y aplicaciones que confían en una autoridad de certificación en particular se denomina ubicuidad. Mozilla , que es una empresa sin fines de lucro, emite varios certificados de CA comerciales con sus productos. [3] Si bien Mozilla desarrolló su propia política, CA/Browser Forumdesarrolló pautas similares para la confianza de CA. Un solo certificado de CA se puede compartir entre varias CA o sus revendedores . Un certificado de CA raíz puede ser la base para emitir varios certificados de CA intermedios con diferentes requisitos de validación.
Además de las CA comerciales, algunas organizaciones sin fines de lucro emiten certificados digitales de confianza pública sin cargo, por ejemplo , Let's Encrypt . Algunas grandes empresas de alojamiento web y computación en la nube también son CA de confianza pública y emiten certificados para los servicios alojados en su infraestructura, por ejemplo, Amazon Web Services , Cloudflare y Google Cloud Platform .
Las grandes organizaciones o los organismos gubernamentales pueden tener sus propias PKI ( infraestructura de clave pública ), cada una de las cuales contiene sus propias CA. Cualquier sitio que utilice certificados autofirmados actúa como su propia CA.
