Es posible que hayas oído hablar de certificados raíz, certificados intermedios y SSL al navegar por Internet. Pero, ¿qué es un certificado raíz y en qué se diferencia de otros certificados digitales?
Durante la navegación probablemente no estés pensando en la seguridad de los datos, la protección de la privacidad y la autenticación de la entidad final. Pero incluso cuando no estás pendiente de la seguridad en línea, los certificados raíz y el sistema SSL sí lo están.
Cuando se trata de seguridad en la Red, Panda Dome de Panda Security te ayuda a proteger tu privacidad, al tiempo que los certificados raíz verifican continuamente los certificados digitales y te mantienen protegido en toda la Web.
¿Qué es un certificado raíz?
Un certificado raíz es un certificado digital que, a su vez, puede utilizarse para emitir otros certificados en un sistema TLS/SSL. Estos certificados son emitidos por una autoridad de certificación verificada (CA por sus siglas en inglés), que es la única entidad de confianza con capacidad para emitir SSL auténticos.
A veces denominados certificados raíz de confianza, son el núcleo del modelo de confianza que se utiliza para asegurar la infraestructura de clave pública. Usan claves privadas -similares a contraseñas cifradas- para firmar los certificados, una firma que asegura a los navegadores que el certificado es de confianza, lo que elimina la necesidad de múltiples rondas de autenticación.
Además estos certificados también se guardan en almacenes raíz en todos los dispositivos. Cada almacén raíz contiene múltiples certificados predescargados, que luego firman y ejecutan programas raíz en múltiples dispositivos y navegadores.
Certificados raíz encadenados frente a certificados raíz simples
Los certificados raíz pueden dividirse en dos tipos:
- Encadenados: certificados raíz incluidos en una cadena de certificados.
- Simples: certificados raíz no incluidos en una cadena de certificados.
Estas raíces de confianza tienen varias diferencias, entre ellas:
- Cómo se instalan
- Su estabilidad de certificación
- Cuándo y cómo caducan
- Qué tipo de firma reciben
Ambos tipos de certificados raíz de confianza pueden firmar y emitir otros certificados digitales, pero los encadenados utilizan además certificados intermedios para firmar entidades finales.
| Certificados raíz encadenados | Certificados raíz únicos | |
|---|---|---|
| Instalación | Instalación manual | Instalación automática |
| Estabilidad | Menos estable | Más estable |
| Caducidad | La fiabilidad puede perderse dos veces: cuando caduca el certificado encadenado o el certificado raíz | La fiabilidad puede perderse una vez: cuando caduca el certificado raíz |
| Firma | Firmado por un certificado intermedio | Firmado por el certificado raíz de una CA |
¿Qué es un certificado intermedio?
Los certificados intermedios son certificados digitales que suelen actuar como intermediarios entre los certificados raíz y los certificados de entidad final. Muchas CA (certification authority) han empezado a permitir que los certificados intermedios verifiquen y autentiquen las solicitudes antes de conectarlas a un certificado raíz.
La CA proporcionará un certificado intermedio con una clave privada, transmitiendo su fiabilidad. Después de que un certificado intermedio reciba la fiabilidad de una CA, puede utilizar su propia clave privada para firmar un certificado de entidad final. Durante este proceso, puede haber más de un certificado intermedio entre una raíz de confianza y su entidad final.
¿Qué son las cadenas de certificados?
Las cadenas de certificados son los vínculos entre un certificado raíz de confianza y su entidad final. Los certificados raíz, los certificados intermedios y las entidades finales pueden formar parte de una cadena de certificados.
Además, una cadena de certificados incluye:
- Detalles del emisor de la CA
- Emisores y sujetos de certificados actuales y posteriores
- Firmas de certificados
- Un último certificado, conocido como ancla de confianza.
La cadena de certificados se activa cuando un navegador intenta autenticar la validez de un certificado, lo que ocurre cuando los usuarios entran en una página web. A continuación, la cadena sigue una serie de pasos:
- Se genera una solicitud de firma de certificado (CSR).
- El certificado raíz genera una clave privada.
- La CSR se envía a la CA.
- La CA utiliza la clave privada para firmar un certificado SSL.
- El navegador verifica la fiabilidad del certificado basándose en la firma raíz.
Si es necesario un certificado intermedio, será firmado primero por el certificado raíz antes de poder firmar un certificado SSL. Este modelo de confianza está diseñado para ayudar a los navegadores a identificar sitios seguros y de confianza para los usuarios, y si un navegador no puede identificar la raíz de confianza de una cadena, no confiará en el certificado.
Certificados raíz e intermedios: la diferencia
Tanto los certificados raíz como los intermedios ayudan a los navegadores a alcanzar el mismo objetivo: verificar y confiar en los certificados. Sin embargo, estos tipos de certificados tienen algunas diferencias importantes.
Valor
Los certificados raíz e intermedios tienen valores diferentes dentro de la cadena de certificados. Dado que funcionan como intermediarios, los intermedios tienen menos valor en la cadena de confianza. Los certificados raíz -en los que confían automáticamente los navegadores- son elementos de mayor valor.
Emisión
Tanto los certificados raíz como los intermedios pueden emitir certificados SSL. Sin embargo, los certificados intermedios deben tener una firma de certificado de CA para firmar como entidades finales, mientras que los certificados raíz pueden emitir automáticamente otros certificados digitales.
Nombre
Los certificados raíz son autofirmados: los campos “Emitido por” y “Emitido para” son idénticos. Los certificados intermedios tienen firma cruzada, lo que significa que tienen emisores y usuarios diferentes
Ruta de certificación
Los certificados raíz aparecen en la parte superior de la ruta de certificación de un modelo de confianza. Pueden firmar y emitir certificados, sin necesidad de intermediarios. Si las CA firman certificados intermedios, aparecen después de los certificados raíz en la ruta de certificación, y se pueden incluir varios intermediarios en una misma ruta.
Firma
Para firmar los certificados intermedios, los certificados raíz utilizan claves privadas. Estas claves son más seguras que las claves únicas que utilizan los certificados intermedios para firmar otros certificados, incluidos los certificados de entidad final.
Daños
Si se daña un certificado intermedio, deja de ser válido y tendrás que eliminarlo para evitar males mayores. Sin embargo, el daño a un certificado raíz es sustancialmente más peligroso porque puede permitir a los hackers acceder a todo un sistema – estos certificados deben mantenerse fuera de línea para reducir esta posibilidad.
Caducidad
Tanto los certificados raíz como los intermedios tienen periodos de validación y caducidad, pero cada uno es diferente. El periodo de validación de un certificado raíz puede durar hasta 10 o 20 años, mientras que la validez de uno intermedio se limita a uno o dos años.
Preguntas frecuentes sobre certificados raíz
A continuación, encontrarás respuestas a algunas de las preguntas más frecuentes sobre certificados raíz.
¿Qué hace un certificado raíz?
Los certificados raíz verifican que los usuarios de software y los sitios web son quienes dicen ser. Los certificados de confianza son cruciales para el proceso de autenticación digital y la seguridad en línea.
¿Dónde puedo encontrar el certificado raíz?
Encontrar el certificado raíz depende del navegador que utilices, pero hay algunos pasos generales.
- Haz clic en el icono del candado que aparece junto a la URL en tu navegador.
- Selecciona Conexión segura.
- Selecciona Certificado válido.
- En el menú emergente, comprueba el emisor, el periodo de validez y el tipo de certificado, tanto en la pestaña general como en la de detalles.
¿Es necesario un certificado raíz?
Un certificado raíz es necesario porque se utiliza para verificar la autenticidad de otros certificados intermedios y de entidad final. Sin un certificado raíz, un sistema queda desprotegido o inutilizable.
Al responder a la pregunta “¿Qué es un certificado raíz?” y determinar las diferencias entre los certificados raíz de confianza y los intermedios, puedes entender cómo los navegadores verifican las acciones y solicitudes. Aunque estos certificados pueden mantener tu información segura, los servicios de protección Premium ofrecen una variedad de características adicionales de seguridad online para ti y tu familia.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
