¿Qué es un ‘certificado digital’?

Certificados DigitalesEn la entrada anterior ¿’Qué es el ‘Phishing’? ya se hizo mención de las conexiones cifradas y de los certificados digitales. Vamos a ver por encima qué es un certificado digital, y cómo se usa para evitar, por ejemplo, casos de phishing.

¿Qué es un Certificado Digital?

Básicamente, como se explica por ejemplo en la Wikipedia, un certificado digital es un archivo o fichero informático que asocia datos de identidad a una persona física, organismo o empresa, confirmando así la identidad digital de la misma.

Este certificado es emitido por una entidad de servicios de certificación reconocida por todos los ‘actores’. Algunos prestadores de servicios de certificación son VeriSign, thawte o Google Internet Authority G2 a nivel internacional, o la Fábrica Nacional de Moneda y Timbre Casa de la Moneda, FNMT-RCM, a través de la iniciativa CERES, en España. A cada uno de estos prestadores se le conoce como Autoridad Certificadora.

¿Para qué sirve un Certificado Digital?

La función principal de un certificado digital es autenticar/identificar a su poseedor, pero también puede servir, y de hecho se suele usar mucho en este sentido, para cifrar las comunicaciones y para firmar digitalmente documentos y/o correos electrónicos. Trataremos el tema de la firma digital y del cifrado en otras entradas.

En el caso que nos ocupaba en la entrada anterior, un tipo de certificado digital concreto, el certificado SSL, se utiliza para autenticar sitios web a los que nos conectamos, de manera que no se pueda suplantar su identidad y se realice algún tipo de fraude a través de los sitios que intenten suplantar al original. Ya vimos que un requisito para autenticarlos es que nos conectemos a estos sitios web con nuestros navegadores mediante conexiones seguras, que se identifican por el prefijo https:// en la dirección a la que nos conectamos.

Certificado Digital

El proceso que se realiza no es excesivamente complicado. Se crea una conexión entre el navegador del usuario y el servidor. En ese momento, mediante el protocolo SSL (Secure Sockets Layer), se crea una clave de seguridad que sólo conocen el usuario y el servidor. A partir de ese momento, se cifra cualquier comunicación entre ambos extremos, de manera que alguien que interceptase la comunicación no ‘entendería’ la información que se está transmitiendo. Este cifrado se realiza mediante un sistema de clave pública y clave privada, del que se darán unas pinceladas en una próxima entrada.

¿Cómo identificamos un sitio web legítimo mediante su certificado digital?

Cuando nos conectamos a un sitio web con nuestro navegador usando el protocolo SSL, es decir, usando el prefijo https:// en la dirección, el navegador cargará el certificado del servidor y nos indicará que ‘cree’ que el sitio es seguro mediante un candado delante del comienzo de la dirección. Por ejemplo, si nos conectamos a la web de la Universidad de Málaga mediante conexión cifrada, nuestro navegador nos mostrará lo siguiente (puede variar ligeramente en función del navegador que utilicemos):

Certificado UMA

Vemos que el navegador, de forma visual, con el candado cerrado y el color verde de fondo, nos está diciendo que ‘piensa’ que el sitio es legítimo.

Si pinchamos sobre el candado (o cualquier parte del ‘botón verde’), se nos mostrará información sobre el certificado:

Certificado UMA - Ver Certificado

Podemos observar que de entrada se nos da información sobre la entidad certificadora que ha emitido el certificado, el nombre del organismo o empresa que se está identificando con dicho certificado, y con qué tecnología se está cifrando. Si queremos ver datos más detallados, hay que pinchar en Datos del certificado, donde podremos ver otros datos como por ejemplo, la fecha de emisión y fecha de expiración del certificado, los propósitos para los que se creó dicho certificado (asegurar la identidad de un equipo remoto, firmar documentos), y más datos que si tienes curiosidad, recomiendo que veas, para que te vayan sonando.

Si el navegador ‘no está conforme’ con el certificado, nos mostrará una advertencia, que visualmente se traducirá en una cruz sobre el candado, o un candado abierto, y el color rojo hará su aparición, lo que debería ponernos alerta:

No conforme con certificado digital

Las causas pueden ser variadas:

  • No se reconoce la entidad certificadora. Puede ser un certificado autofirmado, o puede ser que la entidad no sea reconocida por el navegador. Esto último no siempre es malo. Si la entidad certificadora la conocemos y nos fiamos de ella, entonces no hay problema.
  • Los datos del certificado no coinciden con la dirección a la que nos conectamos. El certificado es de otro sitio, y se está utilizando fraudulentamente en este, o quizás se está usando el certificado de la empresa de hosting (alojamiento web), que evidentemente no coincide con el dominio alojado en sus servidores, que tiene otro nombre. Hay que decidir si nos fiamos o no del certificado.
  • El certificado ha caducado. Esta causa puede indicar un despiste de la empresa u organismo, que no haya renovado el certificado, pero no debemos bajar la guardia.
  • Otras causas: por ejemplo, utilizar una tecnología de cifrado que se considere obsoleta.

¿Si el navegador dice que el certificado es bueno puedo estar tranquil@?

Pues sí y no. En principio, las entidades certificadoras utilizan medios más que suficientes para asegurar que se están emitiendo los certificados a nombre de quien se están solicitando, pero hay algunas entidades que emiten certificados gratuitos que no ponen todos los filtros necesarios para asegurar que la empresa u organismo que está pidiendo el certificado sea quien dice ser.

Si desde un sitio web con certificado digital ‘válido’ nos están pidiendo datos que no deberían pedirnos, desconfía, y si es una tienda o entidad bancaria a la que puedas dirigirte en persona, date un paseo y confirma que efectivamente te están pidiendo esos datos. En caso contrario, ni se te ocurra introducir tus credenciales, datos de contacto, datos financieros, o datos que puedan ser sensibles.

En definitiva, como ya hemos mencionado en más de una ocasión, hay que utilizar uno de los sentidos menos comunes, el sentido común.

Share and Enjoy:
  • Print
  • Digg
  • StumbleUpon
  • del.icio.us
  • Facebook
  • Yahoo! Buzz
  • Twitter
  • Google Bookmarks