Autoridades de Certificado Digital

Autoridades de Certificado Digital

Este elemento es una ampliación de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs]

Autoridades de (Registro de) Certificado Digital

Los certificados digitales son vehículos de almacenamiento codificados digitalmente para transportar información personal, especialmente firmas digitales, a través de Internet. VeriSign, una de las principales autoridades de certificación (una empresa de seguridad que emite certificados) los compara con un permiso de conducir o un pasaporte.

Puntualización

Sin embargo, para la mayoría de los consumidores, los certificados no desempeñan un papel evidente en su uso diario de Internet, ya que los navegadores web actúan como policía de tráfico, exigiendo una ola electrónica de la licencia o el pasaporte en segundo plano. Sólo cuando un certificado es cuestionable o poco fiable, el consumidor individual se da cuenta del proceso, y entonces suele aparecer una alerta emergente con un aviso de que el sitio al que se dirige el usuario no es fiable.

Ventajas del Certificado Digital

El atractivo de los certificados digitales en el comercio electrónico es evidente. Aumentan enormemente la seguridad y la velocidad de las transacciones en línea, haciendo más viables las posibilidades de ventas y comunicaciones instantáneas de Internet. A principios de la década de 2000, los certificados digitales fueron un medio primordial para el avance del comercio basado en la web. Validan al usuario en el punto de compra, agilizando el proceso de transacción al eliminar la necesidad de validación por parte de terceros. La información contenida en el certificado incluye el nombre y la dirección de correo electrónico del usuario, los datos de caducidad, un número de serie y el nombre de la autoridad de certificación que emitió el certificado.

Más Información

Las instituciones y las empresas también alientan a sus empleados y funcionarios a utilizar certificados digitales personales para verificar la autenticidad (véase qué es, su concepto; y también su definición como “authentication” en el contexto anglosajón, en inglés) de sus mensajes de correo electrónico.

Los certificados digitales fueron elaborados por el Zions First National Bank, con sede en Salt Lake City, en colaboración con la Asociación de Banqueros Americanos. Las organizaciones pusieron en marcha un programa piloto con la Administración de la Seguridad Social de los Estados Unidos a finales de los años noventa en el que cientos de empresas presentaron sus informes de seguridad social en línea utilizando certificados digitales. El tremendo éxito del programa abrió la puerta a un mayor interés y aplicación. (Tal vez sea de interés más investigación sobre el concepto).Entre las Líneas En el verano de 2000, el Presidente Bill Clinton firmó la ley, usando un certificado digital, la Ley de Firmas Electrónicas en el Comercio Global y Nacional. Esta legislación anunció un punto de inflexión, en particular para la banca en línea, que se había visto impedida por las preocupaciones sobre la seguridad y la autenticación de las transacciones financieras en línea. Al hacer que estas firmas digitales fueran jurídicamente vinculantes y seguras, la banca basada en la web comenzó finalmente a cumplir su tremenda promesa.

A principios del decenio de 2000 se produjo un aluvión (véase qué es, su definición, o concepto jurídico) de nuevas tecnologías destinadas a facilitar la aplicación e integración más amplias de los certificados digitales, como los formularios web diseñados para aceptar certificados. Otros avances incluyeron el espacio de almacenamiento de los certificados digitales en directorios centrales seguros.
Los certificados digitales se almacenan generalmente como archivos en los navegadores web de las computadoras personales y están protegidos por números de identificación personal (PIN), con lo que se verifica que las comunicaciones proceden de determinados usuarios.

Puntualización

Sin embargo, hay algunas imperfecciones implícitas. Por ejemplo, un certificado digital autentica esencialmente a la computadora, no al individuo que la utiliza. Si bien los usuarios de certificados digitales suelen proteger sus máquinas con capas de verificación personal para su uso, además del NIP, los certificados almacenados en las computadoras son, no obstante, susceptibles de ser utilizados por los piratas informáticos. Una solución muy promocionada para esta dificultad fue el aumento de los certificados digitales con tecnología biométrica, que verifica la identidad mediante características personales como las huellas dactilares, la retina o la voz. La llamada autenticación de dos capas que utiliza un token biométrico añade un nivel adicional de protección a los certificados digitales almacenados en una computadora individual o portátil.

Preocupación respecto al Certificado Digital

Con el uso generalizado de los certificados digitales y su valor en el comercio electrónico, tal vez fuera inevitable que el fraude se convirtiera en una cuestión primordial para las empresas en línea durante el primer decenio del siglo XXI. A principios del decenio de 2010, existía la creciente preocupación de que la naturaleza misma de los certificados digitales y su dependencia de algoritmos a veces vulnerables constituían un defecto crítico del sistema.Entre las Líneas En 2009, una encuesta realizada por Netcraft reveló que el 14% de los certificados SSL válidos de terceros se emitieron utilizando el algoritmo MD5, que anteriormente se había demostrado que corría el riesgo de ser utilizado para producir certificados falsos. Como señaló Netcraft, la seguridad de los certificados digitales era un “blanco móvil”, ya que un algoritmo más reciente, el SHA1, también presentaba deficiencias. Se estaba poniendo a prueba a las autoridades de certificación digital para que idearan algoritmos más fuertes y menos vulnerables en un mundo que dependía cada vez más de su producto.

Certificado Digital

En 2011, la Electronic Frontier Foundation, un grupo de defensa de los derechos digitales y la privacidad, expresó su preocupación por la creciente dependencia de los certificados digitales, señalando que una sola transacción de comercio electrónico utilizando un servidor web podía suponer la utilización de 1.500 certificados. Mientras tanto, si bien la seguridad de las computadoras individuales seguía siendo fundamental, los piratas informáticos se centraban en un objetivo mucho más amplio: las autoridades de expedición de certificados. La preocupación por la seguridad aumentó en 2011 cuando un hacker iraní, que se hace llamar “Comodohacker”, afirmó haber robado certificados digitales de 531 sitios de DigiNotar, una autoridad de certificación holandesa. Los certificados incluían los de Facebook, Mozilla, Yahoo, Android, Twitter y Skype, según el periódico indio The Hindu, que también informó de que los servicios nacionales de inteligencia también se habían visto afectados. Los expertos en seguridad, citados por InfoWeek, sugirieron que la tecnología de los certificados digitales se estaba volviendo demasiado rígida y vulnerable.

Certificado Digital

Si bien los navegadores web más utilizados seguían vigilando la situación de los certificados digitales y publicaban actualizaciones de seguridad frecuentes, la gestión de múltiples certificados digitales se había convertido en un problema para las empresas, ya que el creciente número de aplicaciones móviles y el servicio basado en la nube impulsaban su utilización de certificados digitales, según informó eWeek.com en 2011.Entre las Líneas En respuesta al desafío, Symantec, la mayor autoridad de certificados digitales en 2011, anunció la formación de un Centro de Inteligencia de Certificados basado en la nube, diseñado para ayudar a las organizaciones a gestionar sus certificados digitales y responder rápidamente a cualquier ataque.

Autoridad de Certificados Digitales

Las autoridades de certificación fueron el centro de muchos avances en el comercio electrónico a principios del decenio de 2000 y pasaron a ser vitales en el comercio electrónico a medida que los consumidores dependían cada vez más de la Internet para las transacciones comerciales y la comunicación personal. Uno de los mayores impedimentos para la adopción generalizada del comercio en línea fue el temor de muchos consumidores y empresas a los riesgos de seguridad que entrañaba el envío de información financiera o de otra índole por Internet.

Pormenores

Las autoridades de certificación tenían por objeto aliviar esos temores actuando como garantes de la autenticidad (véase qué es, su concepto; y también su definición como “authentication” en el contexto anglosajón, en inglés) y la seguridad de las transacciones en línea. Para ello, emitían certificados digitales o paquetes electrónicos cifrados que contenían información que autenticaba a su remitente.

Los certificados digitales emplean una infraestructura de clave pública. Un código o clave pública puede ser utilizado por cualquiera para encriptar un mensaje a una autoridad determinada.

Puntualización

Sin embargo, sólo esa autoridad puede descifrar el mensaje utilizando su clave privada. Sólo la combinación de la clave privada y la clave pública puede autenticar la identidad de un usuario o una transacción mediante un certificado digital. Los certificados digitales, a su vez, fueron los principales vehículos de las firmas digitales, que desempeñaron un papel enorme en el floreciente mundo del comercio electrónico del decenio de 2000.

Pormenores

Las autoridades encargadas de los certificados mantienen la clave privada y, por lo tanto, sirven como agentes de confianza detrás de estas transacciones cifradas. Los certificados llevan entonces el sello de aprobación de una autoridad dondequiera que viajen, y los receptores se refieren a esa autoridad como la marca de confianza para garantizar que la información dada es segura y la identidad del remitente es sólida. La autoridad obliga legalmente a un individuo, o al menos a una computadora individual, a una determinada clave pública, y certifica que el titular del certificado está oficialmente reconocido por un tercero de confianza.

Algunas autoridades de certificación están dirigidas por grandes empresas o instituciones para sus comunicaciones y transacciones internas y externas, pero la utilización cada vez más amplia de la Internet por los consumidores y las pequeñas empresas dio lugar al desarrollo de autoridades de certificación comercial. Por ejemplo, VeriSign, con sede en Mountain View (California), fue una autoridad comercial que dominó el sector a finales del decenio de 1990 y principios del de 2000. Las principales autoridades de certificación como VeriSign, Equifax y Thawte se beneficiaron de la confianza que les expresaron los creadores de navegadores Internet Explorer y Netscape Navigator.Entre las Líneas En 2004, Go Daddy Inc., uno de los principales agentes del mercado de registro de dominios y alojamiento web, empezó a vender certificados de capa de conexión segura (SSL) a través de su filial Starfield Technologies. Las tres principales autoridades de certificación SSL que competían con Go Daddy a mediados de la década, según Netcraft, incluían a GeoTrust, The Comodo Group y VeriSign, que había absorbido a Thawte (en 2010, VeriSign, la mayor autoridad de certificación, según Netcraft, vendió sus servicios de SSL y de confianza a Symantec Inc.) La encuesta anual de Netcraft le dio a VeriSign una cuota de mercado del 38% con alrededor de medio millón de certificados en uso.

Servicios de Autoridad para el Certificado Digital

Las autoridades certificadoras determinan las condiciones de un contrato de certificación, incluida la duración de su actividad, la amplitud de los privilegios que ofrece y las obligaciones del titular del certificado. Los certificados se suelen expedir por un año, aunque la duración puede variar ampliamente. La mayoría de las autoridades se muestran reacias a expedir certificados por períodos más largos debido a las preocupaciones sobre la seguridad a largo plazo (véase más detalles en esta plataforma general) a la luz del desarrollo de la tecnología, la aversión al riesgo derivada de la confianza de los titulares individuales y el deseo de obtener ingresos continuos por la expedición de nuevos certificados. Los certificados también pueden revocarse antes de su fecha de vencimiento utilizando una lista de revocación de certificados (LRC), una lista firmada digitalmente y emitida por la autoridad de certificación que indica a los receptores de los certificados digitales que un determinado usuario ya no está validado por la autoridad.

La relación de la autoridad de certificación va más allá de la relación de uno a muchos entre la autoridad y sus titulares de certificados. Dentro de una infraestructura de clave pública, las autoridades de certificación se organizan jerárquicamente, de modo que cada autoridad inferior en la jerarquía mantiene una autoridad matriz para verificar su clave pública. Esta relación se vuelve particularmente decisiva en las operaciones de empresa a empresa por Internet, en las que las empresas necesitan compartir información segura utilizando certificados digitales para su verificación. (Tal vez sea de interés más investigación sobre el concepto).Entre las Líneas En esos casos, la coordinación e interoperabilidad entre las autoridades de certificación es importante para facilitar una interacción fluida. La gestión de múltiples certificados crea dolores de cabeza y consume recursos valiosos para una empresa. Así pues, se consideró que la creación de jerarquías de autoridades en las que la validez de los certificados se realice sin problemas en diversos niveles era una solución comercial óptima.

Además, las autoridades proporcionan un mecanismo de control del fraude incorporado, en el sentido de que las empresas y los particulares pueden seguir la trayectoria de las autoridades de certificación por las que se ha movido una transacción para determinar dónde puede haber tenido lugar cualquier daño. Al descubrir el abuso del certificado, la autoridad puede revocar inmediatamente el certificado del usuario infractor.

Puntualización

Sin embargo, dado que las autoridades de certificación son los fideicomisarios de la seguridad de las firmas en la Internet, garantizar su propia seguridad física, personal y de la red es una preocupación primordial.

Cuando se reconoció oficialmente que las firmas digitales eran jurídicamente vinculantes mediante la aprobación de la Ley de firmas electrónicas en el comercio mundial (o global) y nacional en 2000, la función de las autoridades de certificación en el mundo del comercio electrónico se amplió a unos pocos niveles. Cada vez se empezaron a realizar más transacciones por Internet, incluidas las bancarias en la web, lo que hizo que la validación segura de esas transacciones fuera fundamental.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

Detalles

Las estrictas medidas y protocolos de seguridad se volvieron aún más cruciales para las autoridades de certificación a medida que el comercio y las comunicaciones en línea prosperaban gracias a las tecnologías móviles y basadas en la nube.
Las primeras grandes autoridades de certificación como VeriSign disfrutaron de “beneficios casi monopolísticos”, como los denominó la revista Slate, gracias a las bendiciones de los navegadores entonces dominantes, Netscape e Internet Explorer. Las principales autoridades siguieron teniendo la mayor presencia en el mercado, pero a medida que la Web se ampliaba y aumentaban las interacciones mundiales, el número de autoridades de certificación crecía para satisfacer las exigencias que imponían al proceso las leyes y los requisitos de acreditación locales.Entre las Líneas En 2011, Safari y Firefox confiaban en más de 60 autoridades de certificación por defecto, y el software de Microsoft confiaba en más de 100.

Puntualización

Sin embargo, la lista cada vez mayor de autoridades de certificación de confianza y su concesión de confianza a numerosas organizaciones, incluidas grandes empresas y organismos gubernamentales, planteó cuestiones tanto de privacidad como de seguridad. La Electronic Frontier Foundation (EFF), un grupo de defensa de los derechos digitales, cuestionó si esa confianza y habilitación abrían una “puerta trasera secreta” a Internet, según Slate.

A medida que el número de certificados y el número de autoridades que los emiten crecían a lo largo del primer decenio del siglo XXI, se fue sumando un número cada vez mayor de piratas informáticos cuyos ataques a diversos sitios comerciales y gubernamentales también aumentaron. Sin que sus dueños lo supieran, los hackers a menudo utilizaban computadoras secuestradas en una amplia red llamada botnet. Se hizo vital que los propietarios de las computadoras mantuvieran programas de virus y actualizaran sus navegadores con medidas de seguridad regularmente para combatir estas invasiones de botnets por los hackers.

La mayoría de las autoridades de certificación, según la EFF en 2011, hicieron un buen trabajo protegiendo la privacidad y proporcionando a los consumidores y empresas un entorno de comercio electrónico seguro.Si, Pero: Pero una preocupación creciente fue la estructura y el tamaño del sistema. Una sola transacción en un servidor web, o un intercambio de correo electrónico, podría involucrar literalmente a 650 autoridades y unos 1.500 certificados. El uso cada vez más amplio de los certificados, y el crecimiento del número de autoridades de certificación, se convirtió en una preocupación a raíz de los exitosos ataques de 2010 y 2011 cuando los hackers robaron certificados, permitiéndoles robar contraseñas, leer el correo electrónico, acceder a cuentas bancarias y de tarjetas de crédito, o redirigir a los usuarios a un sitio creado con fines delictivos.

El papel fundamental que desempeñan las autoridades de certificación digital las convierte en un objetivo clave en el desarrollo de las ciberguerras.Entre las Líneas En 2011, hubo informes de ataques a contratistas de defensa estadounidenses desde servidores en China, y un hacker iraní apuntó a dos autoridades, Comodo y DigiNotar. Se especuló que el ataque fue en respuesta a los esfuerzos cibernéticos dirigidos a desactivar el desarrollo nuclear iraní mediante el uso de un virus. El hacker, que profesaba ser un leal seguidor del régimen iraní, robó certificados, comprometiendo a sitios importantes como Facebook y Google. El ciberataque a DigiNotar, una empresa holandesa, tuvo un gran efecto en las agencias gubernamentales de los Países Bajos, según el Los Angeles Times, sumiendo al país en el caos e incitando a un funcionario del gobierno a declarar que sólo el lápiz, el papel y el fax eran una forma segura de comunicarse con el gobierno. Muchos comentaristas dijeron que el ataque tenía todas las características de un ataque autorizado por el gobierno y predijeron que este tipo de ataque sería una táctica típica en la ciberguerra del siglo XXI. Escribiendo en Ars Technica en agosto de 2011, el analista Peter Bright opinó: “La confianza absoluta dada a las autoridades de certificación, y la susceptibilidad de esa confianza al abuso, ha sido considerada durante mucho tiempo un problema. …

Pormenores

Las autoridades de certificación siguen siendo un eslabón débil en toda la infraestructura de claves públicas, y aunque se pueden crear sistemas criptográficos que reduzcan esta posibilidad, el esquema que tenemos sigue firmemente arraigado, independientemente de sus defectos”.

Datos verificados por: Marck

Recursos

Véase También

Criptografía, Clave Pública y Privada; Certificado Digital; Firma Digital; Legislación sobre Firma Digital; Cifrado .

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.