Los dispositivos inteligentes se cuentan por decenas de miles de millones, y todos ellos se comunican y facilitan el acceso a sitios web y servicios digitales, desde los públicos, como el acceso a las redes sociales, hasta las operaciones sensibles, como el acceso privado al correo electrónico, la banca en línea y el tratamiento de datos médicos.
Todas estas comunicaciones dependen de la Infraestructura de Clave Pública (PKI), en la que las Autoridades Certificadoras Públicas (CA) supervisan la provisión de certificados digitales, garantizando que las entidades que ejecutan y acceden a estos servicios son quienes dicen ser, asegurando las conexiones entre ellas. En la web pública, es crucial que estas conexiones no sólo sean seguras, sino también fiables.
Los múltiples aspectos de la confianza pública
¿Qué es la confianza?
En el contexto de una conexión SSL / TLS, la confianza gira en torno a la seguridad que tiene un cliente en la identidad del servidor o de la otra parte con la que se está comunicando. Para entender cómo se establece esa confianza, vamos a explorar algunos de los términos relacionados con la confianza.
Garantía
La seguridad nos ayuda a establecer quién y qué es digno de confianza. Cuando te entregan un documento firmado, hay algunos factores que pueden asegurarte que la firma es legítima, por ejemplo, si conoces personalmente y confías en la persona que te entrega el documento, si contiene un sello notarial o si el proceso de firma está registrado y sellado. Cada una de estas acciones supone una garantía adicional para el destinatario, lo que aumenta su confianza.
Garantía general
En el ejemplo anterior, la garantía general consiste en creer en la palabra de alguien de que el documento es auténtico. Aunque el hecho de conocer a la persona aumenta ligeramente la garantía, sigue siendo una garantía general.
Alta garantía
Si el documento firmado ha sido autenticado ante notario, existe una gran garantía de que el documento y la firma en cuestión son auténticos. Incluso sin conocer personalmente al notario, se pueden realizar comprobaciones para verificar que el notario está registrado en la oficina gubernamental pertinente. Muchos estados también exigen que los notarios lleven un registro que puede ayudar aún más en la verificación. Disponer de pruebas de vídeo nos llevaría casi a la certeza.
Aun así, existen problemas potenciales como la calidad del vídeo, la identificación errónea, la edición y las falsificaciones, que pueden arrojar algunas dudas.
Certeza criptográfica
Si viéramos imágenes grabadas de un proceso de firma, podríamos establecer por el contexto la legitimidad del documento firmado. Una marca de tiempo indica que el vídeo no ha sido editado y que tuvo lugar en ese momento. También podemos comprobar que el documento, la firma y el refrendo del notario coinciden con los del vídeo. También podríamos confirmarlo corroborándolo con los registros de la notaría.
Si el documento estuviera alterado o la licencia del notario estuviera caducada en el momento de la firma, ya no habría ninguna garantía y el documento, y la firma, serían nulos. Esto es efectivamente lo que obtenemos con la certeza criptográfica, que describe el nivel más alto de seguridad en el que podemos garantizar que una comunicación o dato no ha sido manipulado y procede de una fuente de confianza.
Confianza offline frente a confianza digital
Fuera de línea, podemos observar aspectos de nuestro entorno para confirmar que estamos en el lugar correcto, hablando con las personas adecuadas, como un médico en una consulta médica. El mundo online nos ha alejado de los entornos presenciales, lo que supone un reto a la hora de demostrar que estamos en el espacio digitalmente equivalente correcto. Afortunadamente, podemos aprovechar la automatización para realizar estas comprobaciones necesarias y aportar un alto nivel de seguridad y confianza adecuado para el mundo online.
Confianza pública frente a confianza privada
Al facturar en un aeropuerto o abrir una cuenta bancaria, se requiere algún tipo de verificación de identidad. Las formas aceptables de identificación suelen ser emitidas por ayuntamientos estatales o federales, como el carnet de conducir o el pasaporte, lo que las hace versátiles en su uso porque son de confianza pública.
Un equivalente de confianza privada sería una credencial o identificación emitida por el empleador. No se puede utilizar una identificación de empleado para abrir una cuenta bancaria, pero una identificación de empleado tiene fuerza en el contexto adecuado. Está controlada por el empleador y permite que otros sepan que tienes permiso para estar en las instalaciones. Un carnet de conducir puede mostrar a un empleador quién eres, pero no le muestra que perteneces a las instalaciones.
Ambos demuestran también usos aplicables digitalmente. Los distintos certificados tendrán diferentes aplicaciones de confianza en función de para qué sean y a quién se proporcionen. Los certificados se emiten tanto para fines internos como externos: algunos pueden ser de confianza pública, mientras que otros no.
Ahora que hemos establecido las jerarquías de garantía tradicionales, establezcamos quién desempeña estos papeles online, es decir, quiénes son los "notarios" de internet.
Confianza en las Autoridades Certificadoras públicas
Tradicionalmente podemos recurrir a un notario público o a cartas de certificación de un abogado; en el mundo online recurrimos a las Autoridades Certificadoras públicas. Los notarios se ganan la confianza cumpliendo los requisitos de su jurisdicción y registrándose ante las autoridades competentes. Esta confianza se aplica utilizando su sello y firma en los documentos.
Del mismo modo, las CA públicas se ganan la confianza cumpliendo estrictos requisitos de seguridad y conformidad establecidos por los "operadores de almacenes raíz". Algunos ejemplos de operadores de Root Store son Adobe, Apple, Google, Microsoft y Mozilla. La presencia de una CA en uno o más de estos almacenes raíz establece el grado de ubicuidad de la raíz.
La confianza otorgada a las CA públicas a través de estos programas raíz se hereda en los certificados digitales que emiten.
Certificados digitales
Los certificados digitales son documentos digitales conformes a la norma X.509 y pueden dividirse en dos categorías principales: certificados de servidor y certificados de cliente. Los certificados digitales contienen una clave pública y un conjunto de campos estándar que definen el propósito del certificado, el periodo de validez y muchos otros detalles, incluida la entidad o entidades a las que se emite. La información contenida en el certificado está firmada digitalmente por la CA, lo que otorga confianza.
Los certificados de servidor, también llamados certificados SSL o TLS, dan fe de la identidad de un servidor. Cuando un cliente se conecta al sitio web, por ejemplo, https://www.globalsign.com/es, el certificado TLS y el protocolo garantizan la confidencialidad, integridad y autenticidad en la transmisión de datos.
Mientras que un certificado TLS autentica un servidor, un certificado de cliente da fe de otras entidades como individuos, direcciones de correo electrónico, organizaciones u otras partes. Los certificados de cliente se utilizan para firmar objetos digitales como dibujos CAD, documentos, correos electrónicos y código, cifran correos electrónicos y otros datos, y pueden utilizarse para autenticar a un cliente frente a un servidor.
Establecer la confianza
Un certificado TLS puede pretender certificar un sitio web concreto, pero ¿cómo podemos confiar en que el certificado pertenece a la parte que tiene el control de ese sitio web y no a un impostor?
Cuando un cliente se conecta al sitio web, el navegador comprueba qué la CA firmó y emitió el certificado. Normalmente, se trata de un certificado intermedio. Estos certificados intermedios están a su vez firmados y emitidos por un certificado de CA Raíz. La secuencia de vinculación del certificado TLS a través de uno o más certificados intermedios y, en última instancia, a una CA Raíz se denomina Cadena de Confianza. Si la CA raíz se encuentra en el almacén raíz de confianza del navegador, se trata de un certificado de confianza.
Uniendolo todo
Cuando tenemos un certificado TLS emitido para el sitio web, la CA ha validado que su solicitante exhibe el control del dominio y la posesión de la clave privada. El certificado está firmado por la CA y ahora tiene una cadena de confianza hasta su certificado raíz, que también forma parte de un Programa Raíz. El navegador puede validar todo esto y confirmar que el certificado no está caducado ni revocado. Con una conexión TLS establecida, tenemos la garantía de todo lo anterior y una conexión segura que asegura que los datos transmitidos están encriptados e inalterados desde su origen.
Verificar cada interacción en persona con un documento de identidad y luego comprobar la validez de ese documento en el mundo offline sería extremadamente poco práctico para las aplicaciones cotidianas, pero, en el mundo digital, podemos automatizar equivalentes de estas comprobaciones y aportar una gran garantía a las interacciones digitales.
La confianza es la base sobre la que se asientan todas las transacciones y comunicaciones del mundo, tanto en el espacio físico como en el digital. Sin confianza, no podemos garantizar la protección de nuestros datos y activos, y muchos de los procesos de estas comunicaciones fracasarían.
Al realizar transacciones comerciales, las organizaciones dependen de la seguridad de la confianza entre ellas y sus socios para garantizar que las operaciones comerciales continúen sin interrupciones. Del mismo modo, las organizaciones deben trabajar con una autoridad certificadora de confianza para garantizar la seguridad de sus datos, comunicaciones y transacciones digitales.