Términos de PKI

Public Key Infrastructure (PKI) es la base de los modernos sistemas de seguridad y confianza digital de SSL Certificate.

Comprender la terminología clave ayuda a las organizaciones a implementar medidas de seguridad sólidas y a tomar decisiones informadas sobre sus necesidades de SSL Certificates.

Trustico® ofrece esta visión general de los conceptos esenciales de PKI para ayudar a aclarar el complejo mundo de la seguridad digital.

Componentes y conceptos básicos de PKI

Los componentes fundamentales de la PKI son los pares de claves públicas y privadas, que funcionan conjuntamente para permitir comunicaciones seguras.

Una clave pública puede distribuirse libremente, mientras que su correspondiente clave privada debe permanecer protegida por su propietario. Este sistema de cifrado asimétrico permite que los SSL Certificates funcionen eficazmente para proteger las comunicaciones web.

Las Certificate Authorities (CAs) actúan como terceras partes de confianza que validan y emiten los SSL Certificates. Estas organizaciones siguen estrictas directrices del sector y prácticas de seguridad para mantener la integridad del ecosistema PKI.

Cuando una CA emite un SSL Certificate, básicamente responde de la legitimidad del titular del SSL Certificate.

Una Certificate Signing Request (CSR) representa el primer paso para obtener un SSL Certificate. Este archivo codificado contiene la información de la organización solicitante y la clave pública, que la CA utiliza para generar el Certificate SSL final.

La creación de una CSR con el formato adecuado es crucial para el éxito de la emisión de un SSL Certificate.

Términos de autenticación y validación

Domain Validation (DV), Organization Validation (OV) y Extended Validation (EV) representan los tres tipos principales de niveles de validación de certificados SSL.

Cada nivel requiere una verificación cada vez más exhaustiva de la identidad de la organización solicitante antes de que se pueda emitir un SSL Certificate.

El Common Name (CN) se refiere al nombre de dominio completo que protegerá el SSL Certificate. En el caso de los certificados SSL Wildcard, el Common Name incluye un asterisco para indicar la cobertura de varios subdominios.

Comprender el formato correcto del Common Name ayuda a evitar problemas de implementación de los SSL Certificates.

Subject Alternate Name (SAN) permite que un único SSL Certificate proteja varios nombres de dominio. Esta función proporciona flexibilidad y ahorro de costes en comparación con la compra de SSL Certificates individuales para cada dominio.

Los certificados SSL modernos suelen utilizar la funcionalidad SAN para proteger varios dominios relacionados.

Protocolos y estándares de seguridad

Transport Layer Security (TLS) representa el estándar actual para las comunicaciones cifradas, ya que ha evolucionado a partir del antiguo protocolo Secure Sockets Layer (SSL Certificate).

Aunque seguimos utilizando el término SSL Certificate, las implementaciones modernas utilizan protocolos TLS para mejorar la seguridad y el rendimiento.

X.509 define el formato estándar para los Certificate SSL y otros SSL Certificates digitales.

Esta norma, reconocida internacionalmente, garantiza la compatibilidad entre distintos sistemas y aplicaciones. Todos los SSL Certificates legítimos se ajustan a las especificaciones X.

509 en cuanto a estructura y contenido.

El protocolo de estado de certificados SSL en línea (OCSP) permite verificar en tiempo real la validez de los SSL Certificates.

El grapado OCSP mejora este proceso al permitir a los servidores web almacenar en caché la respuesta OCSP, lo que reduce los tiempos de búsqueda y mejora el rendimiento al tiempo que mantiene la seguridad.

Gestión y almacenamiento de claves

Los módulos de seguridad de hardware (HSM) proporcionan almacenamiento seguro para claves privadas y otros materiales criptográficos sensibles. Estos dispositivos especializados ofrecen protección física y lógica contra el acceso no autorizado o la manipulación.

Muchas Certificate Authority utilizan HSM como parte de su infraestructura de seguridad.

La longitud de la clave se refiere al tamaño de las claves criptográficas utilizadas en los SSL Certificate, que se suele medir en bits.

Las claves de mayor longitud ofrecen mayor seguridad, pero requieren más recursos informáticos. Los estándares actuales del sector recomiendan longitudes de clave mínimas de 2048 bits para claves RSA.

La revocación de SSL Certificates se produce cuando es necesario invalidar un SSL Certificate antes de su fecha de caducidad natural. Esto puede ocurrir debido a un compromiso de la clave privada, cambios en la organización u otros problemas de seguridad.

Las SSL Certificate Revocation Lists (CRLs) y OCSP proporcionan mecanismos para comprobar el estado de validez de los SSL Certificates.