¿Debería mi organización confiarle la emisión de certificados digitales a un tercero? o quizás, ¿Será mejor emitirlos nosotros mismos?.
Esta pregunta salió precisamente porque nos gustaría saber cual es la opción más segura. Este sencillo post te dará la respuesta.
Este es un tema que tiene mucho que ver con el Public Key Infrastructure (PKI) y las Certification Authorities (CA) que puedes revisarlo en sólo 5 minutos, y te ayudará a entender este tema mucho mejor.
Sin más, empecemos.
Signed Certificate
Conocido en español como Certificado Firmado. Estos certificados son generados por una Autoridad Certificadora (CA). Así es, las CA firman y emiten certificados firmados. Estos certificados contienen una clave pública y la identidad perteneciente a un usuario. La clave privada correspondiente no se pone a disposición del público; en cambio, el usuario autorizado lo mantiene en secreto. Al emitir el certificado, la CA confirma o valida que la clave pública contenida en el certificado pertenece a la persona, empresa o servidor mencionada en el certificado. La CA verifica las credenciales de una aplicación; por lo tanto, los usuarios confían en la información de los certificados por la CA. En conclusión, la CA acepta la responsabilidad de decir: "Sí, esta persona es quien dice ser, y nosotros, la Autoridad Certificadora (CA), lo certificamos".
Como se muestra en el diagrama anterior, el usuario se acerca a una CA confiable y compra un certificado digital. La CA emite un certificado (que tiene una clave pública y la identidad del usuario) para el usuario y actualiza la VA con la misma información. El usuario firma un documento con la clave pública y lo envía al receptor. Luego, el receptor verifica el certificado consultando al VA, quien verifica el certificado al receptor pero no comparte la clave privada.
Self-Signed Certificate
En español, un "certificado autofirmado" es un certificado firmado por la misma organización, garantizando ella misma que es una identidad confiable. Sí, es verdad, esto no parece ser legal, pero tiene sentido y utilidad en algunos escenarios. En general, los certificados autofirmados se usan mucho en entornos de prueba, como servidores.
En un certificado autofirmado, un usuario crea un par de claves públicas y privadas utilizando una herramienta de creación de certificados como Adobe Acrobat Reader, la herramienta de claves de Java y el llavero de Apple, y firma el documento con la clave pública. El receptor solicita al remitente la clave privada para verificar el certificado. Sin embargo, la verificación del certificado rara vez ocurre debido a la necesidad de revelar la clave privada. Esto hace que los certificados autofirmados sean útiles solo en un entorno de prueba autocontrolado.
 vs. Self-Signed Certificate ){kind=link}
0 Comentarios