La cadena de certificados SSL contiene varios certificados para ayudar a establecer la confianza con el navegador y el cliente.
El siguiente es el conocimiento sobre estos certificados de cadena y cómo funciona la "cadena de confianza".
Como propietario de un sitio web, sabe que un certificado SSL / TLS es un requisito previo para un negocio en línea exitoso.Además de aumentar la confianza y proteger la seguridad de los datos, también ayuda a mejorar la clasificación de su sitio web a los ojos de Google.Pero el certificado SSL no se ejecutará en burbujeo;Forma parte de la cadena denominada certificados SSL.La cadena es una parte indispensable de una infraestructura de clave pública a gran escala, que hace posible llevar a cabo una comunicación en línea segura a través de la insegura Internet.
Pero, ¿qué es exactamente una cadena de certificados?¿Por qué es tan importante generar confianza?Desglosaremos los diferentes componentes de la cadena, cuáles son sus reglas y cómo funcionan juntos como parte de una infraestructura de clave pública más grande.
¿Qué es una cadena de certificados SSL?
Entonces, ¿cuál es la cadena de certificados de SSL y TLS?La cadena de certificados incluye el certificado raíz, uno o más certificados intermedios y el certificado del servidor (hoja).Si no sabe cuáles son algunos de ellos, no se preocupe.Este es nuestro propósito aquí: ayudar a desglosar estos términos de una manera significativa.
Si viene aquí, es posible que ya esté familiarizado con el certificado del servidor, porque este es el certificado que compró para el sitio web.Esto es para que el ícono del candado aparezca en la barra de URL antes de su dominio.También es la razón por la que se muestra "HTTPS" en su URL..
Si hace clic en el candado del sitio seguro, verá los detalles del certificado SSL.La captura de pantalla a continuación le dará una idea de lo que está viendo.Por ejemplo, en SectigoStore.com, verá el nombre de la organización que emitió el certificado.En este caso, es Rapid Web Services LLC, [Estados Unidos].
Esto es lo que solemos decir cuando hablamos de certificados SSL / TLS.Los otros dos certificados de la cadena son útiles para establecer la confianza en esos certificados de servidor.
El certificado SSL es emitido por un tercero de confianza y de buena reputación, llamado autoridad certificadora, autoridad certificadora o CA (abreviatura).Sin embargo, la CA no emitirá directamente el certificado al sitio web.Con una cadena de confianza o una cadena de certificados, el proceso se puede hacer más rápido y más fácil.
La cadena de la confianza es como un árbol ...
Para comprender cómo funcionan estos certificados juntos, imagine un árbol.Un árbol tiene raíces, un tronco y sus correspondientes ramas y hojas.La estructura de la cadena de certificados no es diferente a la del árbol.
Como un árbol, el certificado raíz es la base sobre la que se basan todos los demás certificados.Así como un árbol tiene muchas ramas, una CA puede emitir más de un certificado intermedio desde un certificado raíz.La misma analogía se aplica a las hojas que representan certificados de servidor.
Si continuamos explorando el certificado SSL de este sitio, aprenderemos mucho.Por lo tanto, haga clic en "Certificado"Opción, verá una ventana emergente, como se muestra a continuación:
Esta imagen muestra información sobre el certificado, como el propósito del certificado, la persona que emitió el certificado (autoridad certificadora), el sitio que emitió el certificado y su fecha de caducidad.
Además, lo llevará a la información detallada del certificado, que lo ayudará a comprender el protocolo y el algoritmo utilizados por el certificado.Muestra el algoritmo utilizado para cifrar la clave pública y también proporciona la clave pública del sitio.
Ahora, pasamos a la siguiente parte, la ruta de certificación.En el contexto de este artículo, esta es la parte más importante del artículo de información del certificado.Cuando haces clic en "Ruta de certificación", verá el certificado raíz, el certificado intermedio y el certificado del servidor.
En la imagen de arriba podemos ver:
- El certificado raíz es " Sectigo (anteriormente Comodo CA)."Este es un certificado autofirmado que firma el certificado de CA intermedio.
- El certificado intermedio es " COMODO RSA servidor de seguridad de autenticación extendida CA "."El certificado actúa como intermediario (es decir, intermediario) entre el certificado raíz y el certificado del servidor.Por lo tanto, el certificado intermedio utiliza su propia clave privada para firmar el certificado del servidor para proteger la clave privada del certificado raíz.
- El certificado del servidor es " www.sectigostore.com ".Este es el tipo de certificado que instala en el servidor web, generalmente llamado certificado SSL / TLS.
Dado que el certificado de hoja proviene de la rama media y la rama media se ramifica desde la raíz, se supone que el árbol que describió anteriormente está al revés.En la captura de pantalla anterior, básicamente, la raíz del árbol está en la parte superior y las hojas en la parte inferior.
Comprender las distintas partes de la cadena de certificados SSL
La siguiente figura ilustra la cadena de certificados SSL e información detallada sobre la autoridad de firma:
En esta sección, no solo descompondremosCertificado raíz y certificado intermediodiferencia entre,Y tambiéndescomponerCertificado de servidor.
Certificado raíz
Un certificado raíz (también llamado raíz confiable) es un certificado emitido directamente por una autoridad de certificación.A diferencia de otros certificados, el certificado raíz está autofirmado por la CA.La clave privada del certificado raíz es la clave que se utiliza para firmar otros certificados en la jerarquía de certificados SSL.
CA solo emite algunos certificados raíz, por lo que están estrictamente protegidos.De hecho, estos certificados raíz suelen estar preinstalados en el "almacén de confianza" de los navegadores y sistemas operativos.El certificado raíz se considera el más importante en la cadena de certificados porque todas las partes acuerdan confiar en la CA que emitió el certificado raíz.Si la CA que emitió el certificado raíz no es confiable o se revoca (es decir, ya no se considera confiable), toda la cadena colapsará.
Para proteger estos certificados, especialmente cuando se trata deCertificado revocadoSituaciónLa CA raíz suele utilizar una CA intermedia para colocar algo de espacio entre su certificado raíz de confianza y el certificado de servidor final.Nunca emiten el certificado hoja (servidor) del sitio web directamente desde su certificado raíz, porque hacerlo es demasiado arriesgado.
Certificado intermedio
El certificado intermedio actúa como un búfer entre el certificado raíz y el certificado del servidor de la entidad final.Está firmado por la clave privada del certificado raíz que lo emitió.Así es como se establece la confianza del certificado intermedio.Certificado intermedioEditorEs el emisor que firmó el certificado SSL / TLS (servidor) ytemaEs el sitio u organización que acredita su identidad.
Puede haber más de un certificado intermedio, pero no puede poseer una cadena de certificados sin al menos un certificado intermedio.
Certificado de servidor
La CA emite un certificado de servidor (también llamado certificado hoja) para el dominio que el usuario desea cubrir.La gente habla de estos cuando habla de certificados SSL / TLS.Una vez que el certificado se haya instalado correctamente en el servidor,Comienzo de la URLMostrará"HTTPS" en lugar de "HTTP".HTTPS significa que su sitio utiliza un protocolo de cifrado seguro, no un protocolo inseguro.Además, aparecerá un candado antes de su nombre de dominio en la barra de URL.
¿Cómo funciona la cadena de certificados?
La cadena de certificados en SSL / TLS también se denomina cadena de confianza.La razón detrás de esto es que cuando cualquier navegador recibe el certificado SSL de su sitio web, debe verificar su legitimidad.
Para hacer esto, comenzará con el certificado del servidor y luego lo devolverá al certificado raíz para establecer la confianza.Utiliza la clave pública del certificado para que coincida con la firma y luego verifica la clave pública y la firma del certificado intermedio de la misma manera.Seguirá haciendo esto hasta que finalmente llegue al certificado raíz que el navegador guarda en su almacén de confianza.
Si no se puede verificar algún certificado de esta cadena, la cadena se romperá y la verificación fallará.El navegador advertirá al usuario sobre el certificado.¿Conoce esos feos mensajes "inseguros" y "su conexión no es privada"?
Sí, de esa manera.Por lo tanto, para que la cadena de confianza funcione, se debe garantizar que no se interrumpa ningún eslabón de la cadena.
¿Me sigues escuchando?Entonces puedo ir un paso más allá y explicarte cómo funciona la cadena de certificados.Después de eso, podemos discutir la tecnología y el proceso entre bastidores: Infraestructura de clave pública (o PKI).
Cómo funciona el proceso de verificación de la cadena de confianza
Si se sigue la jerarquía convencional, la CA raíz autenticará a la CA intermedia, que a su vez firmará el certificado del servidor.Entonces, con esto en mente, ¿cómo usan las personas la cadena de confianza para la verificación?
Cuando un usuario visita su sitio web, el servidor le enviará un certificado.Verificará diversa información como:
- La entidad que emitió el certificado y el objeto.
- Cuándo se emitió el certificado y cuál es su período de validez.
- Si tiene una firma digital válida.
- Si el certificado ha sido revocado.
Para verificar que el certificado es legítimo, debe verificar la cadena de confianza.Aquí, el navegador se iniciará desde el certificado del servidor y verificará todos los certificados, incluido el certificado raíz.El proceso de verificación de la cadena de certificados más común se invierte.Esto significa que la información del certificado del servidor se debe comparar primero con el certificado intermedio del certificado emisor, y luego el certificado intermedio se debe comparar con el certificado raíz del certificado emisor.
Si se han extraído todos los certificados y se completan otros procesos necesarios para una conexión segura, el sitio web cargará un símbolo de candado o "HTTPS" en la barra de URL.De lo contrario, se emitirá una advertencia.
¿Qué es PKI?
Dado que PKI es un tema tan complejo y detallado, aquí le proporcionaremos una descripción general rápida.La infraestructura de clave pública es un término general que describe el marco de procesos, estrategias y tecnologías que hacen posible el cifrado seguro en canales públicos.Se basa en la criptografía de clave pública, que utiliza complejos algoritmos matemáticos para facilitar el cifrado y descifrado de mensajes en Internet.
Estos algoritmos forman parte del marco PKI.Con el desarrollo de la tecnología, los algoritmos se vuelven cada vez más complejos con el tiempo.
PKI utiliza pares de claves para cifrar y descifrar datos.El tipo de clave involucrada depende del tipo de cifrado que utilice.Por ejemplo, el cifrado simétrico utiliza una única clave para cifrar y descifrar datos.(Esto requiere que tanto el remitente como el receptor tengan la misma copia de la misma clave). Por otro lado, en el cifrado asimétrico, hay dos claves únicas (pero relacionadas matemáticamente): la clave pública y la clave privada.Cualquiera puede utilizar una clave pública para cifrar datos.Por otro lado, la clave privada descifrará los datos, que deben protegerse para evitar la fuga de datos.
Tener dos claves únicas pero relacionadas matemáticamente ayuda a los clientes de los visitantes del sitio a entregar mensajes seguros sin preocuparse por el acceso no autorizado o la manipulación de datos.(A menudo llamado ataque man-in-the-middle o MitM).
Conclusión
El certificado SSL / TLS garantiza la seguridad del sitio web mediante el protocolo seguro HTTPS.La cadena de confianza es esencial para la realización de este protocolo de seguridad.Debido a la estructura de árbol de la cadena de certificados, puede establecer contacto con el servidor de forma rápida y segura.Además, puede rastrear fácilmente el certificado hasta su directorio raíz original para averiguar si es legal.Esta es una situación en la que todos ganan.
