Certificados digitales y la nube
Hace ya muchos años que quien más quien menos, mira ese “candadito” cuando usa la banca electrónica. Aprendimos que había que poner una “s” tras el “http” (“S” de segura).
Si primero fue el candado, después aprendimos a identificar las direcciones con la barra verde, como direcciones seguras.
Cada navegador ha ido facilitándonos la tarea, por medio de diversas formas visuales para identificar lo que se entiende por una web segura.
¿Pero, en que consiste esto?¿Es realmente seguro?¿Cómo identificar realmente aquellas webs seguras de otras fraudulentas? Si quiero publicar una web segura, ¿Qué necesito? ¿Por qué algunas webs con “https” se indican como poco seguras?
Intentaremos responder a estas y otras preguntas en este artículo.
Para empezar, veamos qué hay detrás de una web “segura”.
Para no meternos el terminología demasiado técnica, diremos que se cimenta sobre una tecnología que se denomina “cifrado asimétrico”, es decir, que se trata de que las comunicaciones entre nuestro ordenador y aquel que nos ofrece la web, sean cifradas para que nadie, pueda ver la información que intercambiamos.
De esta forma, las claves, los saldos y otra información sensible de nuestra web bancaria (u otra que precise privacidad y seguridad) están a salvo de “fisgones”.
Para hacerlo sencillo, se utilizan los denominados “certificados digitales” y no son otra cosa que archivos que entre otra información, contienen claves muy largas.
Si crees que la clave que utilizas es buena porque tiene más de 20 caracteres y símbolos, imagina una que tuviera muchísimos más. Mejor, ¿verdad?
Pues simplificando, diremos que en ello consiste un certificado.
Con el certificado, se cifra la información y además se indica quien es el emisor de dicho certificado. Suelen ser grandes compañías en las que todos confiamos (porque al final, hay que confiar en alguien). Es el caso de Verisign, Geotrust, Digicert, Symantec, Comodo y otras empresas que expiden certificados y que firman los nuestros con el suyo propio.
Cuando nuestro navegador accede a una web cifrada con un certificado, éste incluye datos como la fecha de expedición, otra en la que expira y una dirección donde consultar si ese certificado es legítimo (dirección propiedad de la empresa que lo expide).
De este modo, es posible desautorizar un certificado, que por alguna razón se considera que no es válido.
Nuestro navegador favorito, comprueba los datos con la CA (nombre que recibe la empresa que expide el certificado) y de esta forma nos muestra una barra verde en señal de confianza y seguridad.
Pero esto no siempre es así.
¿Qué ocurre si nosotros generamos un certificado? (al fin y al cabo es un archivo, y por tanto se puede crear uno, si disponemos del software apropiado para ello (ver OpenSSL ).
Si creamos un certificado y preparamos todo para que nuestra web o servicio se cifre mediante éste, a priori, podría ser tan seguro como otros expedidos por terceras compañías.
El problema radica en la confianza.
Esto es porque los navegadores vienen “de fábrica”, con un listado de compañías que se consideran merecedoras de confianza para expedir certificados.
Como nuestra CA privada, no se incluye entre ellas, el navegador, a pesar de que la web está cifrada, emite u aviso como el de la imagen siguiente, porque no puede verificar que sea una CA de confianza.
La solución pasa por incluirla en la lista de nuestro navegador, pero… ¿vamos a hacer esto con cada persona que visite nuestra web de forma manual? Suele ser inviable.
En este caso, los certificados privados se utilizan para desarrollo, proyectos internos que atañen a no muchos usuarios y otros usos concretos, pero su uso en la selva de Internet puede echar por tierra la confianza de nuestros usuarios en la empresa.
¿Aun con dudas al respecto?, contacte con nosotros nos pondremos en contacto con usted, y realizaremos una demostración de las tecnologías que podemos aportar a su negocio. Demo Gratuita.