¿Qué es una autoridad de certificación y cómo funcionan?

Última actualización por Dionisie Gitlan
Certificate Authority

Las autoridades de certificación son la columna vertebral del sector SSL y la espina dorsal que mantiene unidos todos los procesos de cifrado y seguridad. No podemos crear ni solicitar certificados SSL sin una autoridad de certificación.

Tanto si necesita un certificado autofirmado para su organización de intranet como un certificado SSL público para proteger su sitio web, una autoridad emisora de certificados rige el proceso de emisión de SSL. ¿Qué es una autoridad de certificación y cómo funciona? Esta guía ofrece las respuestas.

Índice

  1. ¿Qué es una autoridad de certificación?
  2. ¿Cuál es la historia de las autoridades de certificación?
  3. ¿Quién regula las autoridades de certificación?
  4. ¿Cuáles son los tipos de autoridades de certificación?
  5. ¿Cuál es la lista de autoridades de certificación de confianza?
  6. ¿Cuál es la mejor autoridad de certificación?
  7. ¿Cuál es la autoridad de certificación más barata?
  8. ¿Cuál es la lista de autoridades de certificación no fiables?
  9. ¿Puede crear su propia Autoridad de Certificación?

¿Qué es una autoridad de certificación?

Una autoridad de certificación ( CA) o autoridad de certificación es una entidad de confianza que emite certificados digitales que confirman la propiedad del dominio y la identidad del solicitante. Las CA desempeñan un papel fundamental a la hora de establecer la confianza y las comunicaciones seguras entre navegadores y servidores, ya que verifican que el cliente o la organización en cuestión es realmente quien dice ser.

Cualquiera puede convertirse en CA y emitir certificados autofirmados, pero sólo unas pocas empresas selectas acaban firmando certificados SSL/TLS para el público en general.

¿Qué hacen las autoridades de certificación?

En esencia, lo único que hace una autoridad de certificación es validar la identidad de la persona o empresa que solicita el certificado SSL. El proceso es similar al de un notario. Entre bastidores, las CA públicas siguen directrices estrictas y pasan controles periódicos de auditoría para cumplir las últimas prácticas del sector.

¿Cómo funcionan las autoridades de certificación?

En función del nivel de validación SSL, las CA realizan exhaustivas comprobaciones para determinar la titularidad del dominio y la identidad de la empresa. Si solicita un certificado de Validación de Dominio, su autoridad de certificación utilizará varios métodos rápidos para confirmar que usted es el propietario del dominio. Sin embargo, si solicita un certificado de Validación Empresarial o de Validación Ampliada, la CA llevará a cabo un exhaustivo proceso de investigación a través de bases de datos públicas locales o utilizará su número de IPJ.

Después de que la autoridad de certificación autentique al solicitante, firmará el certificado digital con sus certificados de CA raíz e intermedia, completando así la cadena de confianza SSL y haciendo que su certificado SSL sea compatible con todos los navegadores.

La CA es la propietaria última del estado del certificado y es la entidad en la que confían todos los demás. Mantiene seguro todo el ecosistema SSL y mitiga las posibles violaciones de datos. Si las raíces de la CA se ven comprometidas, los navegadores y las aplicaciones dejarán de confiar en ella, lo que probablemente pondrá fin a su existencia.

La confianza universal en la Web no se da por sentada. Se basa en directivas de seguridad y en una cooperación eficaz entre los responsables de la industria SSL. Al igual que el cifrado web ha recorrido un largo camino desde el primer borrador del ya desaparecido protocolo SSL, las CA han forjado su camino con altibajos hasta alcanzar la fiabilidad de hoy en día.

En las siguientes secciones, descubrirá una breve historia de las Autoridades de Certificación y quién las regula en última instancia.

¿Cuál es la historia de las autoridades de certificación?

Corría 1995 cuando Mark Richard Shuttleworth, un joven empresario sudafricano-británico, fundó Thawte. Dirigida desde el garaje de los padres de Shuttleworth, Thawte se convirtió en la primera autoridad de certificación en emitir certificados SSL públicos fuera de Estados Unidos.

Ese mismo año, al otro lado del Atlántico, se creó Verisign como escisión del negocio de servicios de certificación RSA Security. La nueva empresa actuó como Autoridad de Certificación y, en los años siguientes, se hizo con cerca del 50% de la cuota de mercado. La otra mitad pertenecía a Thawte. Tanto Verisign como Thawte disponían de certificados en los primeros navegadores Netscape.

En 1999, Verisign adquirió Thawte a Shuttleworth por 575 millones de dólares y se consolidó como líder del mercado a principios del nuevo milenio.

Por aquel entonces, en 2002, una nueva Autoridad de Certificación saltó a la palestra. La ahora conocida marca GeoTrust fue la primera CA en emitir certificados SSL validados para dominios públicos.

En 2007, Comodo CA (ahora Sectigo) organizó la primera reunión del Foro CA/Browser. El consorcio voluntario de CA, navegadores de Internet y vendedores de sistemas operativos contribuyó a la adopción de las primeras directrices de Extended Validation.

En 2010 Verisign vendió a Symantec toda su unidad de negocio de autenticación, que incluía los servicios de autenticación SSL Certificate, Public Key Infrastructure, Verisign Trust y Verisign Identity Protection.

Tras una serie de incidentes de seguridad, Symantec vendió en 2017 a DigiCert su negocio de certificados digitales, incluidas las marcas Verisign, Thawte, GeoTrust y RapidSSL. La operación ascendía a 950 millones de dólares.

¿Quién regula las autoridades de certificación?

Si las autoridades de certificación son responsables de la validación y revocación de SSL, ¿quién las regula? Para responder a esta pregunta, inspeccionemos todas las partes implicadas en este complejo proceso.

Navegadores y aplicaciones

Los navegadores y las aplicaciones definen las normas que rigen las CA. Todos los navegadores contienen información sobre las CA de confianza en su paquete de instalación, también conocido como almacén raíz. Los navegadores aceptarán los certificados SSL emitidos por CA públicas sólo si las raíces de las CA ya están marcadas como de confianza en el almacén raíz.

No todos los navegadores mantienen su propio almacén raíz de confianza. También dependen del almacén raíz del sistema operativo del cliente. Si la raíz de una CA emite un certificado digital que no forma parte del almacén raíz del navegador o del sistema operativo, el navegador advertirá a los usuarios de que no confíen en el certificado SSL.

Pero, ¿cómo determinan los navegadores en qué raíces CA confiar? Bueno, siempre han tenido normas predeterminadas sobre cómo deben funcionar las CA. Además, los mejoran continuamente para establecer normas de seguridad de alto nivel.

Con el tiempo han conseguido eliminar algoritmos más débiles como MD5 y SHA-1. También han eliminado los tamaños de clave obsoletos, como 512 bits y 1024 bits. Si las CA no cumplen la exhaustiva lista de requisitos de los navegadores, se eliminan del almacén raíz de confianza de los navegadores.

Navegadores y CA

Los navegadores tienen mucho que decir sobre cómo deben funcionar las CA. Sin embargo, un Navegador no es la única entidad que regula las Autoridades de Certificación de confianza. Las propias CA, con la aprobación de los navegadores, adoptaron varias directrices esenciales que revolucionaron el panorama SSL.

Las CA y los navegadores han unido sus fuerzas y han creado el Foro CA/Browser, una organización voluntaria de más de 50 miembros de CA y nueve miembros de navegadores que establece las normas del sector SSL.

Regímenes de auditoría WebTrust/ETSI

Una vez que los miembros del Foro CAB aprueban cada conjunto de directrices y actualizaciones, las presentan al Instituto Canadiense de Censores Jurados de Cuentas/Instituto Americano de CPA (Certified Public Accountants) o al Instituto Europeo de Normas de Telecomunicaciones (ETSI).

Las nuevas normas se convierten entonces en las nuevas directrices de auditoría de WebTrust o en normas del ETSI. Por último, los navegadores pueden añadirlos a sus requisitos de almacén raíz de confianza, y las CA deben adherirse a ellos.

En conclusión, los navegadores y las CA supervisan juntos todos los aspectos de la seguridad web. Su esfuerzo conjunto para mejorar las normas del sector SSL ha hecho que el cifrado SSL sea seguro y esté fuera del alcance de los piratas informáticos.

¿Cuáles son los tipos de autoridades de certificación?

Al hablar de los distintos tipos de Autoridad de Certificación, debemos clasificarlos según su jerarquía, productos y nivel de confianza. Empezaremos con el orden jerárquico que consiste en una CA raíz, una CA intermedia y una CA emisora.

¿Qué es una autoridad de certificación raíz?

Una autoridad de certificación raíz es la CA que autofirma los certificados raíz, en los que los navegadores y sistemas operativos confían por defecto. Dado que estos certificados son válidos sin más verificación, se almacenan en dispositivos físicos y se guardan tras cámaras acorazadas altamente vigiladas.

¿Qué es una Autoridad de Certificación intermedia?

Una autoridad de certificación intermedia es una CA en la que no confían los navegadores ni los sistemas operativos, pero cuyos certificados están firmados por una CA raíz. Si una aplicación puede verificar que los certificados emitidos por una CA intermedia se remontan a la CA raíz, se consideran válidos.

El papel de las CA intermedias es actuar como una capa adicional de seguridad entre las CA raíz y las CA emisoras. En caso de violación de la seguridad, la CA intermedia mitigará el posible impacto en la seguridad.

¿Qué es una autoridad emisora de certificados?

Una autoridad de certificación emisora es la CA que proporciona certificados SSL a los usuarios finales. Se subordina a una CA intermedia que utiliza su clave pública para firmar la CA emisora. Los certificados firmados por una CA emisora tienen una validez de un año y los navegadores sólo confían en ellos si están encadenados a sus respectivos intermediarios y raíces.

En lo que respecta a la confianza, las CA se dividen en dos ramas principales: CA públicas y autoridades de certificación privadas.

¿Cuál es la diferencia entre una Autoridad de Certificación pública y una CA privada?

Una autoridad de certificación pública es una CA de confianza controlada por una organización externa, normalmente para emitir certificados SSL al público en general. Todas las CA comerciales y de código abierto en cuyos certificados SSL confían los navegadores y los sistemas operativos son autoridades de certificación públicas. A su vez, las CA públicas pueden clasificarse en CA comerciales y CA de código abierto.

Las CA comerciales ofrecen certificados digitales de pago con el máximo nivel de confianza y seguridad. Son las únicas CA que ofrecen certificados SSL con Business Validation, Extended Validation y multidominio.

Las CA de código abierto emiten certificados SSL gratuitos en los que confían navegadores y sistemas operativos. Estas CA sólo pueden validar la propiedad del dominio y son adecuadas para sitios web personales, blogs o carteras en línea que no se ocupan de transacciones en línea.

Una autoridad de certificación privada es una CA operada por una sola organización, generalmente para emitir certificados digitales a sus dispositivos y empleados. Los certificados SSL privados se utilizan exclusivamente en servidores y máquinas internos.

¿Cuál es la lista de autoridades de certificación de confianza?

Todas las CA públicas son CA de confianza porque sus certificados raíz ya están incluidos en los paquetes de preinstalación o almacenes raíz de los navegadores. A continuación encontrará una lista de CA comerciales y de código abierto en las que puede confiar plenamente.

CA comerciales de confianza

Digicert – una autoridad de certificación premium que opera en el mercado SSL de alta seguridad. Empresas de la lista Fortune 500 y 97 de los 100 principales bancos mundiales utilizan los servicios de DigiCert para cifrar sus sitios web y dispositivos.

Sectigo (antes Comodo): uno de los nombres más conocidos del sector SSL, que ofrece certificados asequibles para todas las necesidades. Más de tres millones de clientes utilizan los productos Sectigo en todo el mundo.

Thawte – la autoridad de certificación más antigua con excelente reputación y soluciones de seguridad en el segmento de SSL premium. Los certificados SSL de Thawte son un fuerte indicador de confianza y fiabilidad.

GeoTrust – otra CA de primera categoría que presta servicio a más de 100.000 clientes internacionales en 150 países. Los certificados GeoTrust ofrecen altas garantías SSL y sellos de sitio dinámicos para aumentar la confianza de los usuarios.

RapidSSL – una CA que sólo valida la propiedad del dominio. Es la opción perfecta para sitios web y empresas más pequeños. RapidSSL emplea un proceso de emisión totalmente automatizado que proporciona certificados digitales de primera calidad en sólo cinco minutos.

CA de código abierto en las que puede confiar

Let’s Encrypt: la mayor CA de código abierto que ofrece certificados SSL de validación de dominio gratuitos adecuados para sitios personales, blogs y plataformas informativas. Los certificados Let’s Encrypt tienen limitaciones y pueden no ser compatibles con algunos servidores o clientes de correo electrónico.

¿Cuál es la mejor autoridad de certificación?

La mejor autoridad de certificación es la que mejor se adapte a su presupuesto y proyecto concretos. Tanto un coche barato como uno caro te llevarán de A a B. El mismo principio se aplica a las CA

Todos los certificados SSL siguen el mismo protocolo criptográfico y proporcionan una fuerza de cifrado idéntica. Por tanto, tanto si utiliza un certificado de siete dólares como uno premium, los navegadores confiarán en él de la misma manera. Lo que diferencia a las CA es su imagen de marca, su nivel de validación, sus funciones adicionales y su segmento de mercado.

En 2023, la cuota de mercado de SSL, según las encuestas de W3 Techs, dibuja el siguiente panorama:

  • IdenTrust – 54,3
  • Grupo Digicert – 15,7
  • Sectigo – 14,3
  • Let’s Encrypt – 6,3
  • Grupo GoDaddy – 5,7
  • GlobalSign – 3,7
  • Certum – 0,7%.

Ahora te preguntarás, ¿quién es IdenTrust y por qué no lo hemos mencionado hasta ahora? Por sí misma, IdenTrust es una CA que proporciona certificados digitales a instituciones financieras, proveedores sanitarios, organismos gubernamentales y empresas.

En 2015, IdenTrust realizó la firma cruzada de los certificados intermedios de Let’s Encrypt, lo que permitió que la CA de Let’s Encrypt fuera de confianza en los principales navegadores.

Si excluimos las CA de código abierto y nos centramos sólo en la cuota de mercado de las CA comerciales, Digicert y Sectigo son las autoridades de certificación más populares en todo el mundo.

¿Cuál es la autoridad de certificación más barata?

Sectigo (antes Comodo) es la autoridad de certificación más barata del mercado, con precios a partir de sólo 7 dólares al año por un certificado básico de Validación de Dominio. Sectigo es sinónimo de SSL asequible.

Incluso tienen una gama exclusiva llamada Positive SSL que ofrece certificados económicos para todas las necesidades. Tanto si necesitas asegurar el sitio web de una pequeña empresa como una red multisitio premium, Sectigo es la respuesta.

¿Cuál es la lista de autoridades de certificación no fiables?

Puede encontrar muchas listas con CA de confianza para distintos navegadores y sistemas operativos, pero ¿qué ocurre con las autoridades de certificación que no son de confianza? Las CA en las que no se confía ya no existen y sólo son relevantes para estudios de casos y fines educativos.

Es casi imposible que una CA se vea comprometida y se recupere de una brecha de seguridad importante. A continuación presentamos algunos ejemplos de lo que ocurre cuando las autoridades competentes se enfrentan a graves incidentes de seguridad.

Incidente DigiNotar

Quince años después de la entrada en el mercado de las primeras CA, los procedimientos de seguridad y emisión de certificados seguían presentando lagunas críticas, expuestas sin piedad por los ciberatacantes. La mayor llamada de atención al sector se produjo en 2011, cuando un atacante desconocido obtuvo acceso administrativo completo a los sistemas esenciales de CA de DigiNotar.

La autoridad de certificación holandesa emitió un certificado comodín fraudulento para Google.com, comprometiendo a más de 300.000 usuarios iraníes de Gmail que fueron víctimas de ataques man-in-the-middle. Los principales navegadores desconfiaron rápidamente de DigiNotar, que se declaró en quiebra voluntaria.

El fin de Symantec CA

Aunque DigiNotar era un pez relativamente pequeño en el mercado, lo que le ocurrió a Symantec unos años más tarde sometió al sector de las CA a una mayor presión y escrutinio. En 2015, Google descubrió que Symantec emitió a propósito más de 100 certificados de prueba para 76 dominios diferentes sin la autorización de los propietarios de los dominios.

Al principio, Google exigió a Symantec que empleara nuevas medidas preventivas y se sometiera a una auditoría de seguridad de terceros, pero más tarde todos los principales navegadores desconfiaron de Symantec debido a sus continuas irregularidades.

La debacle de Symantec podría haber cerrado el ecosistema SSL, ya que la mayor CA de la época emitía un tercio de todos los certificados digitales de la Web. Con millones de certificados afectados, y el plazo de desconfianza de Google para 2018 acercándose rápidamente, Symantec acordó vender todo su negocio de certificados digitales a su principal competidor DigiCert.

En octubre de 2018, DigiCert había revalidado más de 500.000 identidades empresariales y sustituido más de 5 millones de certificados afectados.

¿Puede crear su propia Autoridad de Certificación?

Cualquiera puede crear una CA y emitir certificados autofirmados para su organización o servidores personalizados. Con herramientas como la CA de Microsoft o la utilidad OpenSSL, puede configurar una autoridad de certificación privada con relativa rapidez. Estos son los pasos generales para establecer su propia CA:

  • Cree los directorios y archivos de configuración para la CA.
  • Generar la clave privada y el certificado raíz.
  • Añada el certificado raíz como certificado de confianza en su red.
  • Configure Microsoft CA u OpenSSL para utilizar la clave privada y el certificado del servidor para firmar las solicitudes de certificados.
  • Generar una solicitud de firma de certificado SSL (CSR).
  • Cree certificados autofirmados para sus necesidades.

Por supuesto, los navegadores y las aplicaciones no confiarán en tu CA privada, pero podría ser útil para proteger redes de intranet y realizar pruebas.

Reflexiones finales

Las autoridades de certificación son los guardianes del cifrado web. Mediante tecnología avanzada y directrices estrictas, gestionan y salvaguardan el proceso de emisión de SSL para que nosotros, los usuarios, podamos navegar con seguridad y compartir datos confidenciales con tiendas en línea, bancos y servicios de suscripción.

En esta extensa guía no sólo se ha explicado qué es una autoridad de certificación, sino que también se ha profundizado en los distintos tipos de CA y su finalidad. Esperamos que ahora esté mejor preparado para discernir entre una AC pública y una privada y elegir la que mejor se adapte a sus necesidades.

Preguntas frecuentes

¿Son gratuitas las autoridades de certificación?

Las CA privadas son gratuitas, pero sus certificados están autofirmados y no son adecuados para Internet. Por otro lado, las CA públicas pueden ser tanto gratuitas como comerciales. Los navegadores y sistemas operativos confiarán en un certificado digital gratuito o comercial si está firmado por una CA pública.

Copiar enlace

¿Cómo verifica la identidad una autoridad de certificación?

Dependiendo del nivel de validación SSL, la CA ejecutará una serie de comprobaciones para establecer la identidad. En el caso de los certificados de Validación de Dominio, la comprobación de la titularidad del dominio es un proceso automatizado que requiere que el solicitante siga unos pasos preestablecidos.

Si solicita SSL con Extended Validation o SSL comercial, la CA utilizará bases de datos públicas para confirmar la identidad de su empresa. Si no lo hace, la AC le pedirá que presente documentación adicional.

Copiar enlace

¿Cómo elegir una autoridad de certificación?

Asegúrese de que la CA es fiable y válida. Todas las CA comerciales ofrecen certificados digitales fiables con garantías SSL en el improbable caso de que se produzca una filtración de datos o una emisión fraudulenta. A continuación, determine las necesidades de su sitio web y su presupuesto antes de adquirir un certificado digital. Una herramienta como SSL Wizard puede ayudarle a elegir el certificado perfecto para su proyecto.

Copiar enlace

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

¡Ahorra un 10% ahora!
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Entradas relacionadas
What Is a CA Bundle
¿Qué es un paquete CA en SSL y cómo crearlo?
Root and Intermediate Certificates
Certificados raíz e intermedios: ¿cuál es la diferencia?
What Is a CAA Record
¿Qué es un registro CAA y cómo funciona?
SSL Warranty
¿Qué es la garantía de un certificado SSL y cómo funciona?
Dangers of Self-Signed Certificates
¿Son seguros los certificados autofirmados? ¿Cuáles son los riesgos?