|
|
Verdades Acerca Del Certificado Digital |
|
|
|
|
Verdades Acerca Del Certificado Digital |
|
|
|
|
|
[ English ] [ Français ][ Deutsch ]
|
| En la actualidad hay muchas autoridades certificadoras (CA, por sus siglas en inglés) que ofrecen certificados digitales, cada una de ellas con varios productos de certificados. Para alguien que utiliza por primera vez un certificado digital, no es sencillo realizar una decisión de compra bien informada. Igualmente, los usuarios calificados quizás no comprendan cabalmente ciertos puntos más sutiles relacionados con los productos disponibles en el mercado. |
| Nuestro propósito es ofrecer consejos imparciales sobre cómo enfocar la adquisición de certificados SSL y a la vez aclarar ciertos temas relacionados con el producto y la industria que a menudo se malentienden. Esperamos que la información que suministramos les ayudara realizar las compras adecuadas para sus necesidades comerciales y de seguridad. |
| 1. ¿Cuándo necesita utilizar un certificado digital? |
| Actualmente, asegurar la transmisión de la información financiera en un comercio electrónico es la principal aplicación de los certificados SSL. Sin embargo, con la incidencia creciente del robo de identidades, la protección de la información personal identificable se hace cada vez más importante. Esta categoría de datos incluiría los números de identidad y seguridad social, además de las direcciones de correo electrónico. |
| De modo que si realiza transacciones financieras a través de su sitio Web, no cabe duda de que necesita un certificados SSL. Si maneja datos sensibles de sus clientes, vale la pena considerar seriamente el uso de certificados SSL, especialmente si la seguridad y privacidad de sus clientes o miembros ocupa uno de los primeros lugares en su lista de prioridades. |
| 2. ¿Por qué usar un certificado digital? |
| Existen dos razones principales por las que uno debería usar un certificado digital: |
| [1] Para probar la identidad de su empresa (o de su servidor) en línea, y al hacerlo, crear un sentido de fiabilidad y confianza a quien usa su sitio Web. |
| [2] Para ofrecer protección de los datos enviados a su sitio Web (o entre servidores) mediante el uso de codificación. Si llegara a interceptarse cualquier información, será imposible descifrarla sin la clave distintiva que debe utilizarse para la decodificación. |
| Al evaluar un producto certificador, asegúrese de que cumpla con cada uno de estos requisitos. |
| 3. ¿Qué nivel de autenticación ofrece el certificado? |
| Al asegurar su sitio Web con un certificado digital, su propósito principal es poder probar su identidad en línea y, de este modo, establecer una relación de fiabilidad con quienes desee interactuar en línea. Aquí es donde la autenticación entra en juego como el elemento más importante de un certificado digital. |
| La autenticación ofrece a los usuarios la prueba de que: |
| [1] su empresa es actúa de buena fe en el mundo real. |
| [2] se están conectando con el servidor correcto. |
| El nivel de autenticación de un certificado puede ser visto como una indicación de la calidad: cuanto mas sea el nivel de autenticación provisto, más será la calidad del certificado. Por lo tanto, es importante comprender que cada uno de los certificados digitales disponibles difiere en el nivel de autenticación según la CA emisora o inclusive el producto específico. |
| Algunas CA sólo realizan una autenticación muy básica antes de emitir un certificado, mientras que otras realizan extensas verificaciones para asegurar la identidad de la organización solicitante. A continuación, se enumeran las diversas verificaciones de autenticación que realizan las CA: |
- Búsqueda del dominio para confirmar que la empresa solicitante es la propietaria del mismo.
- Comprobación de la existencia de la empresa para confirmar que se trata de una organización legalmente registrada.
- Verificación de la identidad de la persona que solicita el certificado para confirmar que se trata de un representante autorizado.
|
| Todas las CA realizan una o más de estas verificaciones de autenticación. El resultado es un rango de productos con niveles de calidad muy diferentes. Es importante observar que cuanto mas es la cantidad de verificaciones de autenticación que se realizan, mejor es la calidad del certificado. Por tanto, asegúrese de determinar exactamente qué verificaciones de autenticación se realizan antes de comprar el certificado. |
| 4. ¿Qué significa cumplir con los requisitos de fiabilidad de la Web? |
| Varias CA han alcanzado la categoría de cumplimiento con los requisitos de fiabilidad de la Web particularmente porque ahora Microsoft requiere que la CA se someta a la auditoria de fiabilidad de la Web de las autoridades certificadoras para que su raíz certificador puedan incluirse en Windows XP / Internet Explorer. Pero es importante tener claro qué implica exactamente esta certificación. La fiabilidad de la Web (Web Trust) no fija estándares para las CA, ni tampoco controla o regula los estándares existentes. |
| El cumplimiento con los requisitos de fiabilidad de la Web no dice nada acerca de la calidad de la autenticación ofrecida: solamente confirma que la CA en cuestión se ajusta a sus propias políticas y procedimientos de autenticación. Esto significa que, lamentablemente, el cumplimiento con los requisitos de fiabilidad de la Web no suministra una base útil para comparar diferentes CA. |
| 5. ¿Cuál es la fortaleza de un certificado? (¿Qué es la tecnología SGC?) |
| La fortaleza de la codificación de un certificado digital viene determinada por el nivel de codificación que admite el explorador usado para conectarse con un sitio Web y el servidor donde reside el sitio. Esto significa que los usuarios pueden conectarse a 40, 56 ó 128 bits, según sea la versión del explorador que estén utilizando. |
| La mayoría de los certificados digitales funcionan de este modo: ofrecen codificación de acuerdo con el nivel admitido por el explorador y el servidor. Es importante comprender esta diferenciación, ya que muchas CA promocionan sus certificados como de 128 bits cuando en realidad serán compatibles con sesiones de diferentes niveles de codificación (siendo el de 128 bits el nivel de codificación más alto posible). |
| En el pasado, las leyes Estadounidenses no permitían la exportación de tecnología de codificación de 128 bits. El resultado fue la creación de versiones de exploradores "para exportación" con capacidades de codificación restringidas a 40 y 56 bits. Estos exploradores se distribuyeron fuera de Estados Unidos durante muchos años, y hasta fueron descargados por usuarios desde Estados Unidos. En 1997 el gobierno norteamericano revocó la prohibición que pesaba sobre la codificación de 128 bits. Sin embargo, hoy en día sigue habiendo una cantidad significativa de aquellos exploradores de exportación en uso, principalmente en el mercado fuera y también dentro de Estados Unidos. |
| Se han desarrollado certificados digitales que proveen codificación de 128 bits para exploradores que están predeterminados para una codificación de 40 ó 56 bits, las denominadas versiones "para exportación" del explorador que incluyen Internet Explorer E 5.01 y Netscape 4.7x y posteriores. Estos certificados incluyen tecnología conocida como Server Gated Cryptography (Codificación controlada por el servidor; SGC por sus siglas en inglés) que automáticamente levanta el nivel de estos exploradores a la codificación de 128 bits. Sólo unas pocas CA suministran estos certificados, de modo que si necesita contar con la capacidad para elevar el nivel de codificación a 128 bits, asegúrese de solicitar la tecnología SGC. |
| 6. ¿Cuál es el producto adecuado para usted? |
| Existen varios factores que influirán sobre su elección del certificado digital. |
| En primer lugar, debe considerar la sensibilidad de los datos que han de asegurarse. Tiene sentido pensar que la información personal y financiera altamente confidencial, además de la información comercial crítica, exigen los máximos niveles de autenticación y codificación. Por otra parte, puede haber quienes consideren que hay otras aplicaciones que no requieren medidas de seguridad tan estrictas. La base de todo es que necesita categorizar los diferentes tipos de datos que administra de acuerdo con la importancia que tienen para su negocio y seleccionar un certificado digital que contemple su actividad actual. |
| En algunos países ahora existe una legislación que gobierna el nivel de codificación para la protección de los datos. Normalmente, este tipo de legislación se desarrolla para industrias que hacen un uso intensivo de los datos, donde la seguridad y privacidad son la preocupación principal, como son los servicios financieros o el cuidado de la salud. Por lo general, se pide a las empresas que garanticen la protección de los datos mediante codificación de 128 bits, requerimiento que determina el uso de un tipo específico de certificado digital. En este caso, deberá elegir los certificados digitales capaces de elevar el nivel de codificación a 128 bits (SGC). |
| También es importante considerar el lugar geográfico donde se encuentra su cliente o base de usuarios. El motivo de ello es que ciertas versiones de exploradores antiguos aún existentes en cantidades significativas no admiten automáticamente la codificación de 128 bits, sino sólo las de 40 y 56 bits. En general se conocen como exploradores "para exportación", disponibles fuera de Estados Unidos durante muchos años. También vale la pena observar que usuarios dentro de Estados Unidos han descargado estos exploradores de exportación desde sitios Web fuera de Estados Unidos. De modo que, si está realizando negocios en línea fuera de Estados Unidos y la codificación de 128 bits es importante para usted, es esencial contar con la tecnología SGC que le permita elevar el nivel de codificación. |
| Por último, también vale la pena considerar la duración del proyecto en cuestión. La mayoría de los certificados están disponibles en versiones de uno o dos años (como mínimo). Si su proyecto está planificado para un período más extenso, tiene sentido considerar la opción de dos años ya que ello no sólo significará un ahorro en el costo, que frecuentemente se ofrece para estos productos, sino que además añade el beneficio de ser más conveniente al reducir la frecuencia de trabajo técnico y administrativo asociado con la instalación durante la renovación del certificado. |
| 7. ¿Puede obtener la asistencia posventa que necesita? |
| Dependiendo de su nivel de experiencia en trabajar con certificados digitales, tal vez necesite ayuda en diversas etapas a lo largo del ciclo de vida del producto, desde la solicitud inicial hasta la instalación, renovación y posible reemisión del certificado, si se requiere. |
| Asegúrese de evaluar la capacidad de asistencia de las CA en consideración. Trate de mirar más allá del proceso de venta inicial, ya que en las circunstancias más imprevistas, como por ejemplo al migrar de servidor, es donde un servicio de asistencia competente constituye siempre el mejor valor añadido. |
| 8. ¿Qué antecedentes tiene la CA? |
| En el mundo de los negocios siempre es sensato comprar a proveedores probados y establecidos, y con más razón en la industria de alta tecnología en nuestros días. Esto es especialmente importante cuando se compran productos de seguridad como certificados digitales, para los cuales la utilización de una CA fiable es esencial para realizar negocios en línea eficaces. |
| Los antecedentes de la CA pueden suministrarle las respuestas a otras preguntas aquí enunciadas. Por ejemplo, cuanto más tiempo lleve una CA en el negocio, más probabilidades tendrá de contar con una infraestructura de asistencia calificada y mejor desarrollada. |
| 9. ¿Está tratando con una CA raíz? |
| Hay dos tipos de CA: CA raíz (root CA) y CA encadenada (chained CA). Las CA raíz tienen las raíces de sus certificados instaladas en los principales exploradores, mientras que las CA encadenadas emiten sus certificados a partir de la raíz de una CA raíz. |
| La razón de la existencia de CA encadenadas se relaciona con el tema de la compatibilidad de los certificados con los diversos tipos y versiones de exploradores en uso actualmente. Las CA que han existido durante un período más extenso han podido incluir sus raíces en cada tipo y versión de explorador que se ha ido lanzando durante los últimos años. Por consiguiente, su compatibilidad de certificado-explorador es sumamente elevada. Las CA más recientes no están en condiciones de alcanzar este nivel de compatibilidad ya que sólo pueden incluir sus raíces en las últimas versiones de los exploradores y el único modo que tienen para alcanzar el nivel deseado de compatibilidad es mediante la emisión de certificados firmados con la raíz de una CA que ya cuenta con el nivel de compatibilidad deseado (lo que se conoce como "encadenamiento”). |
| La principal desventaja de utilizar una CA encadenada es que no son dueñas y, por ende, no pueden controlar la raíz utilizada para emitir sus certificados. Desde la perspectiva de quien adquiere un certificado, esta situación puede derivar en problemas potenciales ya que dichos certificados son vulnerables y pueden considerarse no válidos si se quiebran los términos del contrato de encadenamiento o los mismos resultan afectados por un cambio en la propiedad de la raíz. |
