El Weblog de Ivan Ricondo (Ubanov)

Cuando en un servidor web (por ejemplo) queremos seguridad, lo que se hace es encriptar las comunicaciones. Para ello se usa el protocolo HTTPS.

De forma resumida la forma de funcionar el HTTPS es mediante certificados. En concreto el servidor crea dos certificados una clave privada y una clave pública. La clave privada es algo que sólo tiene el servidor y la clave pública es la información que envía a los clientes. Con este par de claves puedes asegurar que estás hablando con un determinado servidor. (con la clave privada un servidor encripta un paquete de datos, y el cliente con la clave pública es capaz de desencriptarlo).

El caso es que cualquiera puede crearse un par de llave pública/privada que se correspondan o digan que se corresponden con cualquier dominio. Para evitar esto, lo que hay es un tercer certificado. Lo que surgen son las entidades que se encargan de asegurar que los certificados son correctos. A estas entidades se les llama “Certificate Authorities” (CA). Estos certifican que si yo me he creado un certificado para el dominio “store.apple.com”, por poner un ejemplo, tengo derecho a usarlo. Una entidad certificadora podría ser Verisign.

La forma de certificar que un certificado es correcto es que ellos comprueban de alguna forma que tu eres quien dices que eres (Verisign por ejemplo te pide cierta información de la empresa, luego busca teléfonos de la misma que aparezcan en los listines públicos y te intenta localizar así… vamos que no vale decir yo soy Bill Gates, para comprobarlo llamame a mi móvil y les doy el número). Una vez que ha comprobado que puedes tener un certificado lo que hace es firmar con su clave …. Por todo este proceso las Certificate Authorities suelen cobrar dinero. Para los CA nuevamente existen dos pares de claves, la privada que tiene el CA en su instalación, y una pública del CA que está instalado en los ordenadores.

De esta forma el cliente recibirá una clave pública diciendo que es el dominio que sea, esta llave estará firmada por un CA. Si el ordenador tiene dado de alta a ese CA, comprobará que todo sea ok.

En ciertas ocasiones es habitual que una empresa pueda tener su propia entidad certificadora (para poder crear los certificados que quiera sin tener que pagar por ellos). Esto obliga a que en los PCs que van a conectarse contra algo firmado por esta CA, se tenga que tener configurar el certificado del CA en todos los ordenadores (para que no de un aviso diciendo que los certificados no son correctos). El proceso al final no es complicado, con lo que puede ser incluso que lo hagas para tu casa (yo en mi casa lo tengo hecho).

En la siguiente entrada doy 4 notas sobre lo que hay que hacer para ser un CA y para firmar un certificado para Web. Con el mismo método se podrían firmar otros certificados (Radius, correo…).

(más…)