Autoridades Certificadoras

Una Autoridad Certificadora (CA) es una organización tercerizada con 3 objetivos principales:

1. Otorgar certificados.
2. Confirmar la identidad del titular de un certificado.
3. Entregar una prueba que el certificado es válido.

Puede que hayas oído de Symantec, Comodo, o Let's Encrypt, entre otros.

Convertirse en una CA es una tarea compleja con requisitos y auditorías de seguridad.
Necesitas ser confiable para que te acepten en un almacén raíz.
Un almacén raíz es básicamente una base de datos de CAs confiables.
Apple, Windows, y Mozilla tienen sus propios almacenes raíz, que ellos preinstalan en tu computador o dispositivo.

¿Qué certificado deberías comprar? Tienes básicamente 3 tipos.

Validado por Dominio ('Domain validated'). El certificado solo verifica el nombre de dominio, y nada más. Probablemente necesites este.
Validado por Organización ('Organization validated'). El certificado requiere una validación y verificación manual de la organización dentrás del certificado.
Validación Extendida ('Extended validation'). El certificado requiere una validación exhaustiva de la empresa.

Todos los certificados validados se indican en un navegador con el despliegue de una insignia segura en la barra de direcciones. Los certificados EV además indican el nombre de la compañía, generalmente.

CERTIFICATAPPROVED

¿Pero cómo se validan los certificados?

Cuando una CA otorga un certificado, firma ese certificado con el certificado raíz que está preinstalado en el almacén raíz.
La mayor parte de las veces es con un certificado intermedio que a su vez está firmado con un certificado raíz.
Si ocurre una catástrofe y el certificado raíz es comprometido, es más fácil revocar los certificados intermedios, debido a que los certificados raíz están instalados en todos los dispositivos.

Veamos paso a paso cómo es validado un certificado. El proceso está basado en una 'cadena de confianza'.

Tu navegador se conecta a un sitio usando HTTPS y descarga el ceretificado.
El certificado no es un certificado raíz.
Tu navegador descarga el certificado que fue usado para firmar el certificado del sitio.
Pero este certificado no es todavía el certificado raíz.
Tu navegador vuelve a revisar el certificado que firmó ese certificado intermedio.

¡Es el certificado raíz! ¡Hurra!

La cadena de certificados completa es confiable, y así el certificado del sitio es confiable también.

En el caso que el último certificado no es un certificado raíz, y no hay más certificados que descargar, la cadena no es confiable.

¿Pero por qué usar una autoridad certificadora cuando puedes tu mismo auto-firmar tus certificados?

Un certificado auto-firmado entrega el mismo nivel de cifrado que uno generado por una autoridad.
Ningún cangrejo puede espiar tus datos.

¡Y no hay cobros cuando auto-firmas tus certificados!

Sí, pero casi todos los navegadores revisan que el certificado fue otorgado por una autoridad confiable.

Así es como los visitantes son advertidos que el certificado puede no ser confiable.

Los certificados auto-firmados son útiles para hacer pruebas, y para intranets, pero debes evitar usarlos en sitios públicos.

Los certificados auto-firmados pueden ser falsificados. Básicamente, dicen 'Créeme, soy yo, ¡lo prometo!'.
Un certificado confiable dice: 'Créeme, una autoridad me verificó'.

Hablando de confianza. Gracias por confiar en nosotros a través de esta historia.

Desafortunadamente, está llegando el fin.

¡Esperamos que hayas disfrutado esta historieta!

¡Nos vemos pronto!

¡Mira, lo lograste!

¡Terminaste la historieta! Gracias del fondo de nuestra patita de gato por pasar parte de tu día leyendo sobre HTTPS.

Te proponemos tres actividades para distraerte del hecho que no hay ningún otro episodio más por leer.

1. Toma el examen

Para compensarte, puedes probar tu reluciente nuevo conocimiento sobre HTTPS en un examen. Sí, es verdad. Incluso te enviaremos un certificado de completitud si tienes un puntaje lo suficientemente alto.

Take the HTTPS quiz

2. Compártelo en redes sociales

Esto es lo esperable. Si quieres ponernos presión para hacer más historietas, acá hay algunos ejemplos para ponernos al filo de nuestros asientos.

I want my new comic right meow 😸 @dnsimple! #certificat https://howhttps.works

Tweet this

Don't cat corners! ✂ 🐈 but make more comics @dnsimple #certificat https://howhttps.works

Tweet that

I have a good feline about this upcoming comic @dnsimple 😻 #certificat https://howhttps.works

Tweet this other thing

Bad crab. Bad @dnsimple. 🦀 Make more comics! #crab https://howhttps.works

Last chance tweet button

3. Visita DNSimple

Si disfrutaste esta historieta, y necesitas un certificado SSL para asegurar tu sitio, o un DNS sólido como roca y fácil de usar (no son nuestras palabras), o un nuevo dominio elegante, revisa lo que tenemos.

Visit dnsimple

P.S. Si quieres sugerir un nuevo episodio (por favor no, todos tendremos que actualizar esta página) o darnos algún comentario sobre los existentes, somos todo oídos.