Una entidad de certificación (CA) es una organización de confianza que emite certificados digitales para sitios web y otras entidades. Las CA validan un dominio de sitio web y, dependiendo del tipo de certificado, la propiedad del sitio web y, a continuación, emiten certificados TLS/SSL en los que confían navegadores web como Chrome, Safari y Firefox. Por lo tanto, las CA ayudan a mantener Internet en un lugar más seguro al verificar los sitios web y otras entidades para permitir una mayor confianza en las comunicaciones y transacciones en línea.
En América Latina estas entidades de certificación regulan disposiciones aplicables también a las firmas electrónicas, firmas digitales basadas en PKI y los certificados o servicios digitales de confianza. Además, en América Latina dichas figuras adquieren diversas denominaciones como autoridades certificadoras a lo largo de LATAM y son homólogas a la figura del Prestador de Servicios de Certificación en países como México que autoriza la Secretaría de Economía y a las figuras de prestador de servicios de confianza.
Cada vez que visita un sitio web con HTTPS o ve el pequeño candado en la barra de URL, está utilizando un sitio que ha sido verificado por una CA. Además, cada vez que visita un sitio que dice”no seguro”,sabe que un sitio no ha sido validado por una CA o su validación ha expirado.
“Cualquier sitio web que desee mostrar el candado seguro y habilitar HTTPS debe obtener un certificado TLS /SSL de una CA. Antes de emitir un certificado, la CA verificará la información del solicitante del certificado, como la propiedad del sitio, el nombre, la ubicación y mucho más”, afirmó Dean Coclin, director senior de Desarrollo Comercial de DigiCert.
Las CA deben adherirse a los estrictos estándares de la industria para garantizar que cada CA cumpla con requisitos similares para la validación.
El Foro de CA/Navegador, compuesto por los principales navegadores y CA, establece los estándares para el cifrado TLS y los certificados digitales.
¿Los usuarios necesitan autoridades de certificación?
Sin autoridades de certificación, las compras, la banca o la navegación en línea serían menos seguras. Los datos introducidos en un formulario web no estarían protegidos y potencialmente podrían ser capturados por un hacker que está “olfateando” los datos entre el navegador y el servidor. Sin embargo, las CA validan organizaciones e individuos para ayudar a garantizar que solo los sitios web legítimos obtengan un certificado TLS. Hay más de 100 autoridades de certificación diferentes en todo el mundo que validan negocios y sitios en todo el mundo.
En particular, los impostores aún pueden intentar aprovechar los certificados, por lo que los usuarios web aún deben estar familiarizados con los indicadores de confianza del sitio, incluidos los sellos del sitio, para saber si un sitio web es seguro. Además, puede comprobar si hay información de identificación sobre el propietario del certificado, como el nombre de la organización, la ubicación y mucho más, incluida en los certificados digitales de mayor seguridad.
¿Qué clases de certificados emiten las CA?
Las CA se centran principalmente en los certificados TLS, pero también emiten una variedad de certificados digitales, incluidos:
· Certificados de firma de código: se usan para firmar versiones de software y validar software del proveedor o desarrollador.
· Certificados de correo electrónico: mediante el protocolo S/MIME, los correos electrónicos se pueden proteger y validar, lo que demuestra la autoría y evita la manipulación.
· Certificados de firma de documentos: firme documentos legalmente vinculantes en Adobe, Microsoft y otros programas para asegurarse de que no se modifican ni son de confianza.
· Certificados de dispositivo: puede proteger dispositivos de Internet de las cosas (IoT).
· Certificados de usuario o cliente: se usan para autenticar a las personas.
“El usuario debe tener en cuenta que todos los certificados TLS/SSL de confianza pública son válidos por un período máximo de un año (398 días) y deberá volver a validar cada año”, agregó Dean Coclin.
Las CA de confianza se someten a auditorías periódicas por parte de partes independientes, siguen las directrices de la industria y mantienen las mejores prácticas para proteger su infraestructura. Además, muchas CA están muy involucradas en grupos de la industria y en el desarrollo de estándares de la industria, y son líderes de opinión en su espacio, proporcionándole los recursos que necesita.
