La clave privada es un archivo de texto creado durante la solicitud de firma de certificado (CSR) utilizando un número aleatorio único. Debes guardarlo siempre en un lugar seguro y no compartirlo nunca con nadie. Aunque sólo sea un archivo de texto, es esencial para la integridad de los datos. Puede dañar su reputación irreparablemente si su clave privada se ve comprometida. Por no hablar de las pérdidas económicas que puede sufrir. En este artículo, le mostraremos las mejores prácticas de almacenamiento de claves privadas.
Índice
- ¿Dónde guardar la clave privada?
- ¿Cómo proteger la clave privada?
- ¿Qué ocurre cuando se compromete una clave privada?
- ¿Qué hacer si ha perdido su clave privada?
La columna vertebral del cifrado web es la Infraestructura de Clave Pública (PKI), un sistema que proporciona comunicación segura a través de una red mediante el uso de una combinación de claves criptográficas públicas y privadas. Estas claves se generan juntas como un par y trabajan en tándem durante el proceso de handshake TLS. La clave pública se utiliza para cifrar, y la clave privada cifrada se utiliza para descifrar los datos.
Mientras que las claves públicas están disponibles para cualquiera como parte de su certificado SSL, la clave privada se almacena en el servidor y se mantiene en secreto. Cuando rellenas un formulario con información personal y lo envías al servidor, la clave pública cifra la información y la protege de los ciberatacantes. Una vez que llega al servidor, la clave privada descifra esta información. El par de claves garantiza que nadie más pueda descifrar tus datos sensibles. En los próximos párrafos, te mostraremos cómo almacenar claves privadas de forma segura.
¿Dónde guardar la clave privada?
Por lo general, la mejor forma de almacenar claves privadas es generarlas junto con la CSR en el servidor en el que pretende instalar el certificado SSL. De este modo, se elimina el riesgo de vulnerabilidad durante la transferencia de una máquina a otra. Sin embargo, a veces puede ser necesario crear la clave privada a través de una herramienta externa generadora de CSR. Por esta razón, existen archivos especiales llamados almacenes de claves que pueden guardar de forma segura tu par de claves pública y privada.
Localmente con almacenes de claves (archivos PFX y KS)
PKCS#12 (.pfx o .p12) y .jks* (creados por la herramienta Java keytool) son archivos especiales que contienen su par de claves pública/privada. Puede almacenar estos archivos en cualquier lugar, incluidos servidores remotos. Su principal recurso de seguridad es una contraseña que protege su contenido. Cada vez que quieras utilizar tu clave privada, tendrás que introducir una contraseña segura. Asegúrate de crear una contraseña sofisticada y aleatoria si utilizas este método.
Otra ventaja de este tipo de archivos es que puede distribuir copias fácilmente si varias personas necesitan utilizar el certificado. Sólo asegúrate de que confías plenamente en ellos y en sus intenciones a la hora de compartir la contraseña de la clave privada.
Módulo de seguridad de hardware
Si buscas una forma a prueba de balas de almacenar tus claves privadas, entonces deberías optar por dispositivos físicos como tokens USB, tarjetas inteligentes o módulos de seguridad de hardware (HSM). Con los dispositivos de almacenamiento de hardware, los atacantes deben primero obtener acceso a ellos, lo que es significativamente más improbable en el mundo real y físico. El truco está en no dejar conectados dispositivos portátiles como tokens USB y tarjetas inteligentes. En cuanto a los HSM, estos dispositivos de almacenamiento de hardware criptográfico, tanto en la teoría como en la práctica, deberían ofrecer la mejor protección, pero son caros y poco prácticos para la mayoría de los usuarios.
¿Cómo proteger la clave privada?
Almacenar las claves privadas de forma segura es esencial para proteger la información sensible y garantizar la confidencialidad, integridad y autenticidad de los datos. Las mejores prácticas de almacenamiento de claves privadas no se limitan a ubicaciones físicas o virtuales. Las medidas de seguridad adicionales y las herramientas de gestión de claves pueden añadir otra capa a la protección de claves privadas. Siga los pasos cruciales que se indican a continuación y nunca tendrá que preocuparse por la seguridad de sus claves privadas.
1. Utilizar un sistema de gestión de claves de confianza (KMS)
Un KMS es un sistema centralizado que proporciona almacenamiento seguro, gestión y protección de claves criptográficas. Permite crear, rotar y revocar claves y ofrece controles de acceso para garantizar que sólo los usuarios autorizados puedan acceder a ellas.
2. Cifrar la clave privada
Puedes cifrar las claves privadas utilizando un algoritmo de cifrado robusto como AES (Advanced Encryption Standard) y almacenar la clave cifrada en un lugar seguro. El gobierno estadounidense utiliza AES para proteger la información clasificada.
Añade una frase de contraseña segura para cifrar la clave, y mantén la frase de contraseña separada de la clave cifrada. De esta forma, incluso si los hackers acceden a sus claves privadas, tendrán que adivinar la contraseña y descifrar las claves privadas, dando al propietario tiempo suficiente para identificar y eliminar la brecha.
3. Haga una copia de seguridad de sus claves privadas
Guarde copias de seguridad de la clave privada en caso de que la clave original se pierda o se vea comprometida. Sin embargo, asegúrate de almacenar las copias de seguridad de las claves privadas de forma segura, por ejemplo, en una ubicación segura y externa. Trata tus copias de seguridad como si fueran la llave original.
4. Limitar el acceso
Conceda acceso a la clave privada únicamente a los usuarios autorizados que la necesiten para realizar sus tareas y funciones. Utiliza controles de acceso y mecanismos de registro para rastrear el acceso a la clave. Asegúrese de que su empresa cuenta con una política clara de gestión de claves y de que los empleados son conscientes de las amenazas a la ciberseguridad.
5. Control de verificación
Supervisar y verificar el proceso de control de acceso a sus claves privadas es esencial para protegerlas. Compruebe regularmente quién tiene acceso a las claves privadas para detectar cualquier cambio inesperado o intento de acceso no autorizado. Utilice programas informáticos para automatizar este proceso siempre que sea posible, o contrate a un tercero independiente para que realice una auditoría. La supervisión eficaz de la verificación mantiene seguras sus claves privadas y evita cualquier acceso no autorizado.
¿Qué ocurre cuando se compromete una clave privada?
A veces, a pesar de tus mejores esfuerzos, tus claves privadas pueden verse comprometidas. Si sospecha o detecta un fallo de seguridad, debe enviar una solicitud de revocación de certificado a su autoridad de certificación. Dependiendo de su situación particular, la CA puede tener hasta 5 días para revocar el certificado. Si encuentra pruebas claras de que la solicitud de certificado no fue autorizada, el certificado debe ser revocado en un plazo de 24 horas.
¿Qué hacer si ha perdido su clave privada?
No tienes que presentar una solicitud de revocación si has borrado accidentalmente el archivo y no hay copia de seguridad. En este caso, lo único que tiene que hacer es ponerse en contacto con su CA y solicitar que se vuelva a emitir su certificado. Sin embargo, si sus claves privadas pueden caer en manos ajenas como consecuencia de la pérdida o el robo de un disco duro, es más seguro solicitar la revocación del certificado.
Conclusión
La clave privada es un componente fundamental de su certificado SSL y de la protección de datos. Aunque nadie es inmune a las violaciones de datos, tomar las medidas preventivas necesarias reduce el riesgo asociado a una clave privada comprometida. Siga las mejores prácticas de almacenamiento de claves privadas para evitar incidentes de seguridad de alto impacto que pueden tener un efecto duradero en las operaciones de su empresa.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10
