Comprendiendo los certificados digitales

Cristina del Carmen Arroyo Siruela    25 octubre, 2021
Certificados digitales

Para los ciudadanos de a pie, los certificados digitales son esos archivos o documentos electrónicos que les permiten llevar a cabo miles de acciones jurídicas, administrativas, pudiendo prescindir de tener que ir presencialmente a llevar a cabo esos trámites, ¿pero realmente qué es un certificado digital?

Un certificado digital es un documento electrónico firmado y generado por una autoridad certificadora (CA, por sus siglas en inglés) o prestador de servicios de certificación, el cual permite la identificación exclusiva de una entidad o solicitante. Para ello, se hace uso de la criptografía de clave pública o asimétrica, en la que se emplean un par de claves de cifrado electrónicas (pública y privada).

El cifrado de clave pública, o criptografía de clave pública, es un método para cifrar datos con dos claves diferentes y hacer que una de ellas, la clave pública, esté disponible para que cualquiera la use. La clave privada está únicamente en poder del propietario o solicitante del certificado digital.

El mecanismo de funcionamiento de criptografía asimétrica o de clave pública establece que los datos cifrados con la clave pública solo se pueden descifrar con la clave privada, y viceversa.

La autoridad de certificación (CA) y la infraestructura de clave pública (PKI)

Una autoridad de certificación (AC o CA por sus siglas en inglés) es una entidad de confianza responsable de prestar una serie de servicios de certificación electrónica. Una de las autoridades de certificación más conocidas y empleadas en nuestro país es la FNMT (Fábrica Nacional de Moneda y Timbre). 

Tras la entrada en vigor del reglamento europeo eIDAS 914/2018, las CA han sido sustituidas por la figura de Prestador de Servicios Cualificado (PSC), aunque se sigue usando el término CA, especialmente en el mundo empresarial.

Estas autoridades son responsables de la emisión, verificación de vigencia y revocación de los certificados electrónicos, siempre garantizando la identidad y veracidad de datos de los titulares de los certificados.

Una infraestructura de clave pública (PKI) es un sistema compuesto por elementos hardware, software y procedimientos de seguridad, cuya función principal es el gobierno de las claves de cifrado y de los certificados digitales, haciendo uso de mecanismos criptográficos entre otros.

Los componentes habituales de una infraestructura PKI son:

  • Autoridad de certificación: anteriormente explicada, es la responsable de establecer las identidades de los usuarios y crear los certificados digitales, documento electrónico que asocia identidad y el conjunto de claves pública y privada.
  • Autoridad de registro: es la responsable del registro y de la autenticación inicial de los usuarios a quienes se les expide un certificado posteriormente si cumplen todos los requisitos.
  • Servidor de certificados: encargado de expedir los certificados aprobados con la autoridad de registro. La generación de la clave pública para el usuario es compuesta con los datos del usuario y, finalmente, se firma digitalmente con la clave privada de la autoridad de certificación.
  • Repositorio de certificados: este componente es el encargado de la disponibilidad de las claves públicas de las identidades registradas. Cuando se requiere validar un certificado se realiza la consulta en el repositorio, se verifica la firma, el estado del certificado. También disponen de la CRL (Cerficate Revocation List), donde se detallan aquellos certificados que por algún motivo han dejado de ser válidos antes de la fecha de caducidad y han sido revocados.
  • Autoridad de sella de tiempo (TSA siglas en inglés): es la autoridad encargada de la firma de los documentos con el objetivo de probar que existían antes de un determinado instante de tiempo.

Los certificados digitales por dentro

X.509 es un estándar empleado en infraestructuras de claves públicas, de cara a definir la estructura de certificado digital. En 1998, la UIT (Unión Internacional de Telecomunicaciones) presentó este estándar. Hay 3 versiones disponibles para X.509. Para mayor detalle sobre este estándar, se recomienda consultar el RFC 5280.

Los certificados digitales bajo el estándar X.509 están en lenguaje ASN.1 y codificados en la mayoría de los casos mediante DER, CRT y CER. Las extensiones empleadas pueden ser .pfx, .cer, .crt, .p12, etc.

Las partes más habituales de un certificado digital son:

  • Versión: se utiliza para identificar la versión de X.509.
  • Número de serie del certificado: es un número entero único que genera CA.
  • Identificador del algoritmo de firma: se utiliza para identificar el algoritmo utilizado por la CA en el momento de la firma.
  • Nombre del emisor: muestra el nombre de la CA que emite un certificado.
  • Validez: se utiliza para mostrar la validez del certificado, mostrando cuando caduca.
  • Nombre del usuario: muestra el nombre del usuario al que pertenece el certificado.
  • Información de la clave pública del usuario: contiene la clave pública del usuario y el algoritmo utilizado para la clave.

En las versiones superiores, aparecen más campos como el Identificador único del emisor, que ayuda a encontrar la CA de forma única si dos o más CA han utilizado el mismo nombre de emisor, entre otros.

Los certificados digitales emplean principalmente criptografía asimétrica y para ello usan algoritmos de cifrado tales como RSA (Rivest, Shamir y Adleman), DSA (Digital Signature Algorithm) y ECDSA (Elliptic Curve Digital Signature Algorithm).

El algoritmo DSA se emplea principalmente para acciones que tienen que ver con la firma digital y verificación de firma. Los algoritmos RSA y ECDSA se emplean para acciones de que tienen que ver con la firma electrónica y también para el cifrado y descifrado de datos.

Tipos y clases de certificados digitales

Existen muchos tipos y clases de certificados digitales ya que estos son prestados por las CA, que determinan aquellos que proporciona y gestiona.

La normativa europea eIDAS 910/2014 establecen 2 tipos de certificados:

  • Certificad Electrónico: documento firmado por un prestador de servicios de certificación, vinculado a una serie de datos de verificación de firma y a la ratificación de la identidad del firmante. Sigue los requisitos de emisión establecidos en la Ley 59/2003 de firma electrónica y el Reglamento eIDAS del Parlamento Europeo. 
  • Certificado Electrónico Reconocido o Cualificado: certificado que añade una serie de condiciones adicionales. El prestador que lo emite debe identificar a los solicitantes y buscar una fiabilidad en los servicios que presta. Este certificado obedece a los requisitos de la Ley de Firma Electrónica 59/2003 en su contenido, en los procesos de comprobación de la identidad del firmante y en las condiciones que ha de cumplir el prestador de servicios de certificación. Ejemplo: DNI electrónico. 

Si se atiende a los certificados digitales, según el tipo de identidad y dato, de manera generaliza, se puede establecer los siguientes 3 tipos:

  • De Persona Física: asociados a la identidad de persona física o ciudadano. Están diseñados para su empleo en trámites personales, oficiales principalmente.
  • Para persona jurídica: su uso está pensado para todo tipo de organizaciones, ya sean empresas, administraciones u otro tipo de organizaciones, todas ellas con una identidad de tipo jurídico.
  • De entidad sin personalidad jurídica: vinculan al solicitante unos datos de verificación de firma y confirma su identidad para ser utilizados únicamente en las comunicaciones y transmisiones de datos por medios electrónicos, informáticos y telemáticos en el ámbito tributario y de la administración pública en general.

También se clasifican en algunos casos según el ámbito de aplicación del certificado, siendo estos algunos ejemplos:

  • Certificado de servidor web
  • Certificado de firma de código fuente
  • Certificado de pertenencia a empresa
  • Certificado de representante
  • Certificado de apoderado
  • Certificado de sello de empresa

Los certificados de servidor web tienen como objetivo principal el asegurar la seguridad en las comunicaciones y transacciones entre el servidor web y visitantes. Esto permite acceder a los que alberga ese servidor web que disponga del certificado, de manera segura (páginas web o base de datos), siempre y cuando esté bien implementado.

Estos certificados emplean el protocolo de TLS (Transport Layer Security), que sustituye al protocolo SSL (Secure Socket Layer). Existen varios certificados de servidor web como los certificados SSL/TLS, wildcard, SAN o multidominio entre otros.

Utilidad de los certificados digitales

La utilidad que presentan los certificados digitales es dispar, ya que ello depende del tipo de certificado digital que se trate y, como se ha visto anteriormente, existen muchas clases.

Las principales ventajas que ofrece el uso de los certificados digitales son:

  • Seguridad en las comunicaciones y servidores.
  • Seguridad en los sistemas de autenticación donde se implementan.
  • Facilidad para llevar a cabo acciones legales o administrativas de manera remota.
  • Capacidad de firma electrónica, de cara a la firma de documentación.
  • Capacidad de cifrado de datos e información.
Sin categoría

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *