Si ha tomado alguna medida para proteger su presencia en la web, es probable que haya encontrado dos métodos de autenticación basados en certificados, los certificados SSL/TLS y los certificados de firma de código. La autoridad que emite estos dos certificados puede ser la misma, pero sus propósitos difieren y en realidad aseguran dos cosas distintas.
En pocas palabras, los certificados de firma de código protegen los productos de software con los que trabajan los usuarios, mientras que los certificados SSL protegen las transmisiones de comunicación a través de una conexión a Internet. Dadas las diferencias de funcionalidad y entre las Autoridades de Certificación (CA), se recomienda entender las diferencias clave - o incluso emplear ambas. Para ello, vamos a analizar más detenidamente la firma de código y los certificados SSL para que pueda determinar cuál es el mejor para sus necesidades.
¿Existen similitudes?
Antes de profundizar en las diferencias entre la firma de código y los certificados SSL, repasemos las similitudes que comparten. Lo más importante es que ambos certificados utilizan claves públicas y privadas para cifrar una ruta de comunicación o una solución de software. Estos procesos obtienen su clave pública de una CA raíz que, tras validar la autenticidad de la parte que solicita un certificado digital, asigna la clave a dicho certificado.
Esta parte solicitante suele ser un desarrollador cuando se trata de la firma de código y un sitio web cuando se trata de SSL/TLS. Sin embargo, el objetivo de esta solicitud de certificado sigue siendo el mismo: validar la autenticidad de un determinado sitio web o desarrollador de software puede evitar que los visitantes/usuarios desprevenidos sean engañados por actores maliciosos que distribuyan malware.
¿Cuáles son las principales diferencias?
Ahora es el momento de conocer las principales diferencias entre los dos tipos de certificados.
Los procesos de verificación pueden variar
Las CAs (Autoridades de Certificación) necesitan verificar a las partes que solicitan la aprobación de los certificados, y tienen algunos medios diferentes de verificación. Cuando se trata de certificados de firma de código, las CAs suelen necesitar los datos de su empresa, así como su dirección e información de contacto, para poder registrarla. En ocasiones, los desarrolladores que solicitan un certificado de firma de código optan por someterse a un proceso de verificación aún más estricto para garantizar a los usuarios finales que la identidad del editor ha sido verificada.
En cuanto a los certificados SSL/TLS, hay varias opciones disponibles. Los certificados con Validación Extendida (EV) se someten al proceso de verificación más riguroso y ofrecen los mayores niveles de protección. En cambio, con los certificados con Validación de Dominio (DV), la CA simplemente comprueba el derecho del solicitante a utilizar un nombre de dominio específico. El proceso es muy rápido, y el certificado se emite casi inmediatamente y sin necesidad de presentar documentación de la empresa. Puede obtener más información sobre los distintos tipos de certificados SSL disponibles en el Centro de información sobre SSL.
Proceso de instalación
La CA está preparada para emitir un certificado una vez completado el proceso de verificación. Los desarrolladores, una vez que reciben su certificado de firma de código, pueden utilizar su nuevo certificado digital para proteger sus productos de software, así como las líneas de código importantes.
Los usuarios que interactúen con el software de un desarrollador recibirán un aviso sobre el certificado de firma de código una vez que instalen su software en sus máquinas. Si no hay un certificado, o la firma digital parece haber sido manipulada, los usuarios recibirán una advertencia de seguridad, haciéndoles saber que el software no es de confianza.
En el caso de los certificados SSL, aparecerá un candado en la barra de direcciones de un sitio seguro y, a veces, en la parte inferior de la página. Los usuarios pueden hacer clic en el candado para verificar la identidad válida de la CA, así como la identidad del propietario del sitio web. En general, siempre es bueno comunicar la seguridad a sus clientes, y los usuarios entendidos esperarán ver el candado SSL. Muchos servicios de alojamiento web incluyen el cifrado SSL de forma gratuita.
Almacenamiento de certificados y claves
La ubicación que elija para almacenar sus certificados SSL y de firma de código -así como las claves de cifrado- es fundamental para garantizar que sus datos estén totalmente protegidos y a salvo de hackers y otros intrusos. La gestión de certificados se convierte en un reto especial cuando se emplean varios tipos de certificados, y la mayoría de las empresas requieren una variedad que incluye SSL/TLS, firma de código y firma digital para empezar. Asegúrese de conocer las mejores prácticas para la gestión y el almacenamiento seguros de las claves.
Conclusión
Tanto el SSL como los certificados de firma de código se basan en claves públicas y privadas para cifrar las vías de comunicación y garantizar la integridad de los datos. Si está haciendo cualquier tipo de negocio en línea - especialmente si es propietario de un sitio web que distribuye su propio software - es fundamental que entienda los casos de uso de ambos, así como los métodos adecuados de almacenamiento y gestión.
Nota: Este artículo del blog ha sido escrito por un colaborador invitado con el fin de ofrecer una mayor variedad de contenidos a nuestros lectores. Las opiniones expresadas en este artículo de autor invitado son únicamente las del colaborador y no reflejan necesariamente las de GlobalSign.