|
|
|
| Existen muchas Autoridades de Certificación (CAs, por sus siglas en inglés) que ofrecen en la actualidad certificados digitales, cada una de ellas con varios productos de certificación. Para el nuevo usuario de certificados digitales resulta a menudo difícil informarse para optar por la opción de compra adecuada. Del mismo modo, los usuarios con experiencia pueden carecer del conocimiento adecuado de ciertos detalles relativos a los productos disponibles en el mercado. |
| Nuestro objetivo es proporcionar un consejo imparcial para orientar al comprador de certificados SSL, y al mismo tiempo esclarecer algunas cuestiones relativas al producto y la industria que habitualmente generan confusión. Confiamos en poder ayudarle a que su elección sea la adecuada a su empresa y a sus necesidades de seguridad. |
| 1. ¿Cuándo es necesario utilizar un certificado digital? |
| La transmisión segura de información financiera en el comercio electrónico es hoy por hoy la principal aplicación de los certificados. No obstante, y debido al aumento de suplantaciones de identidad, la protección de información personal es cada vez más importante. En esta categoría de datos se incluyen la identidad, números y claves personales y las direcciones electrónicas. |
| Por lo tanto, si usted realiza transacciones financieras en su página Web, no cabe duda de que necesita certificados SSL. Si se ocupa de la gestión de datos confidenciales de los clientes, el uso de los certificados SSL merece una seria consideración, especialmente si la seguridad y privacidad de sus clientes o miembros ocupa un lugar importante en sus prioridades. |
| 2. ¿Por qué utilizar un certificado digital? |
| Existen dos motivos fundamentales que hacen aconsejable el uso de un certificado digital: |
| 1. Para probar la identidad de su empresa (o su servidor) en la red y reforzar la confianza de los usuarios de su página. |
| 2. Para proteger los datos enviados a su página (o entre servidores) mediante la codificación. En caso de que la información fuese interceptada, resultaría ininteligible sin la clave individual de desencriptado. |
| Al evaluar un producto de certificación, deberá asegurarse de que cumple todos estos requisitos. |
| 3. ¿Qué nivel de autenticación ofrece el certificado? |
| Cuando asegura su sitio Web mediante un certificado digital, su principal objetivo es proporcionar una prueba de su identidad virtual y establecer de esa manera una relación de confianza con aquellos con los que desee interactuar en la red. Aquí es donde entra en juego la autenticación como elemento principal de un certificado digital. |
| La autenticación sirve para probar a los usuarios que: |
| 1. la existencia de su empresa en el mundo real es genuina. |
| 2. están estableciendo conexión con el servidor correcto |
| El nivel de autenticación de un certificado puede verse como una indicación de su calidad: cuanto mayor sea el nivel de autenticación ofrecido, más calidad tendrá la codificación. Es importante, por lo tanto, comprender que los diversos certificados digitales disponibles difieren en su nivel de autenticación dependiendo de la Autoridad de Certificación emisora o incluso del producto concreto. |
| Algunas de estas autoridades realizan tan sólo una autenticación básica antes de emitir un certificado, mientras que otras llevan a cabo extensas comprobaciones para asegurar la identidad de la organización solicitante. A continuación se enumeran las diversas comprobaciones que las Autoridades de Certificación llevan a cabo para otorgar la autenticación: |
- Examen del dominio para confirmar que pertenece a la compañía solicitante.
- Comprobación de la existencia de la compañía para confirmar que es una organización legalmente registrada.
- Verificación de la identidad de los individuos que soliciten certificados para confirmar que son representantes autorizados.
|
| Todas las Autoridades de Certificación realizan una o más de estas comprobaciones de autenticación. El resultado es una variedad de productos de muy diversos niveles de calidad. Debe tenerse en cuenta que cuantas más comprobaciones se lleven a cabo mayor será la calidad del certificado. Por lo tanto, antes de adquirirlo es importante determinar exactamente cuáles son las comprobaciones de autenticación que se van a realizar. |
| 4. ¿Qué significa la conformidad con los criterios WebTrust? |
| Diversas Autoridades de Certificación han sido declaradas conformes con los criterios WebTrust, debido a que es un requisito impuesto por Microsoft que dichas CAs se sometan a una auditoría para garantizar su calidad de confianza WebTrust, si desean tener sus certificados raíz incluidos en Windows XP / Internet Explorer. Pero es importante entender claramente las implicaciones de esta certificación: WebTrust no establece normas para las Autoridades de Certificación, ni comprueba o regula las normas existentes. |
| La conformidad con los criterios WebTrust no representa la calidad de la certificación que se ofrece, solamente confirma que la autoridad emisora se adhiere a sus propios métodos y procedimientos de autenticación. De esto se deduce que, lamentablemente, la conformidad con los criterios WebTrust no proporciona una base útil para comparar las distintas Autoridades de Certificación. |
| 5. ¿Cuál es la potencia de un certificado? (qué es la tecnología SGC) |
| La potencia de codificación de un certificado digital está determinada por el nivel de codificación compatible con el navegador que se utilice para conectarse a un sitio Web y el servidor donde resida dicho sitio. Esto significa que los usuarios pueden conectarse a 40, 56 o128 bits, según la versión de navegador que estén utilizando. |
| La mayoría de los certificados digitales funcionan de este modo, proporcionando una codificación compatible con el navegador. Debe tenerse clara esta diferencia, ya que muchas Autoridades de Certificación promocionan sus certificados como de 128 bits, cuando en realidad trabajarán en diferentes sesiones con diversas potencias de codificación (siendo 128 bits el mayor nivel posible de codificación). |
| En el pasado, la legislación del gobierno de los Estados Unidos prohibía la exportación de tecnología de codificación de 128 bits. El resultado fue la creación de los llamados navegadores "de exportación" restringidos a capacidades de codificación de 40 y 56 bits. Estos navegadores fueron distribuidos fuera de los Estados Unidos a lo largo de muchos años, e incluso eran descargados por usuarios estadounidenses. En 1997, el gobierno de los Estados Unidos retiró su prohibición sobre la codificación de 128 bits. A pesar de ello, un considerable número de navegadores de exportación continúa en uso, la mayoría (aunque no todos) fuera de los Estados Unidos. |
| Se han desarrollado certificados digitales que proporcionan codificación de 128 bits para navegadores con capacidad sólo para codificación de 40 o 56 bits, los llamados navegadores de exportación, que incluyen las versiones 5.01 de IE y 4.7x de Netscape 4.7x y posteriores. Estos certificados incluyen una tecnología conocida como Criptografía Activada por Servidor (Server Gated Cryptography, SGC) que eleva automáticamente estos navegadores al nivel de codificación de 128bits. Sólo unas pocas Autoridades de Certificación proporcionan estos certificados, de forma que si requiere la capacidad de incremento de codificación a 128 bits, asegúrese de solicitar tecnología SGC. |
| 7. ¿Qué producto es el adecuado para sus necesidades? |
| Existen varios factores que inciden sobre su elección de certificado digital. |
| Para empezar, deberá considerar la confidencialidad de los datos que desea proteger. Resulta lógico que los datos personales y financieros estrictamente confidenciales, así como las informaciones empresariales claves, necesiten los niveles superiores de codificación. También puede aducirse que existen otras aplicaciones que no requieren medidas tan rigurosas de seguridad. Lo esencial es que necesitará categorizar los diversos tipos de datos que gestiona según la importancia que tengan en su empresa, y seleccionar un certificado para las correspondientes tareas. |
| En algunos países existe legislación que regula el nivel de codificación requerido para la protección de datos. Este tipo de legislación se orienta normalmente a industrias que manejan gran cantidad de datos y en las que la seguridad es prioritaria, tales como servicios financieros o sanitarios. Habitualmente, se exige que las empresas garanticen la protección de los datos con codificación de 128 bits, requisito que determina el uso de un tipo específico de certificado digital. En este caso, el producto adecuado serán los certificados digitales capaces de incrementar la codificación a 128 bits. |
| La ubicación geográfica de sus clientes o usuarios merece también especial consideración, debido a que ciertas versiones antiguas de los navegadores que siguen en uso en todo el mundo no son automáticamente compatibles con la codificación de 128 bits, sólo con el de 40 y 56 bits. Generalmente, éstos son los navegadores conocidos como "de exportación" a los que durante muchos años se tuvo acceso fuera de los Estados Unidos. Merece la pena recordar que también en Estados Unidos existen usuarios de estos navegadores, que han realizado la descarga desde páginas Web no estadounidenses. Si su empresa opera fuera de Estados Unidos y necesita cifrados de 128 bits, le resultará esencial la tecnología SGC. |
| Por último, resulta interesante considerar la duración del proyecto en cuestión. La mayoría de los certificados están disponibles en versiones de uno o dos años (o superiores). Si su proyecto está pensado para una duración superior, es conveniente considerar la opción de adquirir un certificado por dos años, ya que no sólo le permitirá beneficiarse de la reducción de costes que frecuentemente supone, sino que además tendrá la importante ventaja de reducir la frecuencia de trabajo técnico y de administración que conlleva la instalación al renovar el certificado. |
| 8. ¿Puede obtener la asistencia técnica postventa necesaria? |
| Dependiendo de su nivel de experiencia trabajando con certificados digitales, podrá necesitar asistencia en varias etapas del ciclo vital del producto, desde la solicitud inicial del certificado a la instalación, renovación y posible reemisión del mismo, si fuese necesario. |
| Al considerar alguna Autoridad de Certificación, deberá asegurarse de evaluar su capacidad de asistencia técnica. Trate de ver más allá del proceso inicial de venta, ya que es en las circunstancias más imprevisibles, como en la migración de servidor, donde más se valora la calidad de la dicha asistencia. |
| 9. ¿Cuál es el historial de la Autoridad de Certificación? |
| En los negocios resulta siempre sensato elegir proveedores consolidados y de confianza, especialmente en la actual industria de alta tecnología. Esto cobra una especial importancia al adquirir productos de seguridad tales como los certificados digitales, la elección de una CA de confianza es esencial para la eficacia de los negocios virtuales. |
| El historial de la autoridad le proporcionará la respuesta a varias de las cuestiones aquí mencionadas. Por ejemplo, cuanto más tiempo lleve dicha autoridad en el negocio, mayor será su experiencia y mejor el desarrollo de su infraestructura de asistencia técnica. |
| 10. ¿Se encuentra ante una autoridad emisora de certificados raíz? |
| Existen dos tipos de Autoridades de Certificación: de raíz y en cadena. Las CA de raíz tienen las raíces de sus certificados instaladas en los principales navegadores, mientras que las de cadena los emiten a partir de la raíz de una Autoridad de Certificación de raíz. |
| El motivo de la existencia de Autoridades de Certificación en cadena está relacionado con la compatibilidad de emisión de certificados con los diversos tipos y versiones de navegadores en uso en la actualidad. Las Autoridades de Certificación que lleven más tiempo en funcionamiento habrán logrado incluir sus raíces en cada tipo de navegador que se haya editado a lo largo de los años. Por lo tanto, la compatibilidad de sus certificados con los navegadores será extremadamente alta. Las CA más recientes no conseguirán alcanzar este nivel de compatibilidad, ya que sólo podrán incluir sus raíces en las versiones más recientes de los navegadores, y la única forma de obtener el nivel deseado será emitir certificados firmados con la raíz de una autoridad que haya alcanzado este nivel (esto se conoce como "Encadenamiento"). |
| El mayor inconveniente de utilizar una entidad emisora de certificados en cadena es que ésta no será propietaria de la raíz utilizada para emitir los certificados y por lo tanto no tendrá control sobre ella. Desde la perspectiva de un usuario de certificados, esto puede resultar en problemas potenciales, ya que sus certificados serán vulnerables y podrían ser considerados no válidos si se incumpliesen los términos del acuerdo de encadenamiento o si fuesen afectados por un cambio en la titularidad de la raíz. |
