¿Qué es un certificado intermedio y cómo funciona?

Qué es un certificado intermedio

Al explorar la seguridad digital, te encontrarás con el término certificado intermedio. Pero, ¿qué es un certificado intermedio y por qué es tan importante? Desglosémoslo y entendamos cómo encajan los certificados intermedios en el marco SSL/TLS y en la Infraestructura de Clave Pública (PKI) más amplia.


Índice

  1. ¿Qué es un Certificado Intermedio?
  2. ¿Cómo funciona un certificado intermedio?
  3. La importancia de los certificados intermedios en SSL/TLS
  4. Certificados Raíz vs. Intermedios vs. SSL
  5. Tipos de certificados intermedios
  6. Cómo obtener un certificado intermedio
  7. Usos comunes de los certificados intermedios

¿Qué es un Certificado Intermedio?

Un certificado intermedio se sitúa entre los certificados raíz y de usuario final en la jerarquía de certificados SSL/TLS. Su función principal es tender un puente de confianza entre la autoridad de certificación (CA) raíz y el certificado final utilizado por la entidad final, como un sitio web o una aplicación. Técnicamente, es un archivo que contiene una clave pública, una firma de la autoridad emisora y otros metadatos.

Para visualizarlo, piensa en una cadena de certificados. En la parte superior está el certificado raíz, una autoridad de confianza que no firma todos los certificados directamente. En su lugar, emite certificados intermedios que, a su vez, emiten certificados de usuario final. Esta jerarquía ayuda a gestionar y proteger eficazmente los certificados digitales.


¿Cómo funciona un certificado intermedio?

He aquí cómo funciona un certificado intermedio dentro del protocolo SSL/TLS:

  1. Emisión: La autoridad de certificación (CA) raíz emite certificados intermedios. Éstos no se utilizan directamente en los servidores web, sino que enlazan la CA raíz y los certificados de la entidad final.
  2. Solicitud de Firma de Certificado (CSR): Cuando un sitio web necesita un certificado, genera una CSR y la envía a la CA. La CSR incluye información como la clave pública y los datos de la organización.
  3. Firma y verificación: La CA verifica la CSR y emite los certificados intermedios(CA Bundle) y el certificado de usuario final. Los certificados intermedios se firman con la clave privada de la CA raíz, lo que garantiza su legitimidad.
  4. Cadena de confianza: La autoridad de certificación intermedia firma el certificado del usuario final. Los navegadores o clientes pueden rastrear este certificado a través de la cadena hasta el certificado raíz para confirmar la confianza.
  5. Establecer la confianza: Cuando un usuario se conecta a un sitio seguro, su navegador comprueba toda la cadena, desde el certificado del usuario final a la CA intermedia y, finalmente, al certificado raíz. Si todos los certificados son válidos y de confianza, la conexión es segura.
  6. Revocación y renovación de certificados: Las CA pueden revocar y renovar los certificados intermedios y de usuario final si están comprometidos o caducados. Los navegadores comprueban el estado de revocación mediante las Listas de Revocación de Certificados (CRL) o el Protocolo de Estado de Certificados en Línea (OCSP) para asegurarse de que los certificados son válidos.

La importancia de los certificados intermedios en SSL/TLS

Los certificados intermedios son esenciales por varias razones:

  • Seguridad mejorada: Al utilizar certificados intermedios, la CA raíz puede mantener su certificado seguro. Si un certificado intermedio se ve comprometido, el certificado raíz permanece intacto.
  • Gestión eficaz: Los certificados intermedios agilizan la gestión de un gran número de certificados. Permiten delegar eficazmente la emisión de certificados y reducen la exposición del certificado raíz.
  • Flexibilidad y control: Con varias CA intermedias, las organizaciones pueden crear distintas vías de certificación para diferentes necesidades. Esta configuración permite un mayor control y flexibilidad a la hora de gestionar los certificados.

Certificados Raíz vs. Intermedios vs. SSL

Comprender las distinciones entre certificados raíz e intermedios puede ayudarte a solucionar diversos problemas relacionados con SSL.

  • Certificados raíz: Emitidos por la CA raíz, son los certificados de nivel superior almacenados en los almacenes raíz de los principales navegadores y sistemas operativos. Son autofirmados y establecen el máximo nivel de confianza.
  • Certificados intermedios: Los emite la CA raíz u otra CA intermedia. Sirven de puente en la ruta de certificación y se utilizan para firmar certificados de usuario final.
  • Certificados SSL: Instalados en los servidores web, estos certificados son emitidos por una CA intermedia. Cifran los datos entre el servidor y el cliente.

Tipos de certificados intermedios

Los distintos tipos de certificados intermedios son

  • CA Intermedia Única: Una CA directa que emite certificados para fines o entidades específicos.
  • Certificados con firma cruzada: Certificados intermedios firmados por varias CA raíz para garantizar la compatibilidad entre distintos almacenes raíz.
  • Otros certificados intermedios: Emitidos para casos de uso especializados o por varias CA intermedias con funciones y autoridades distintas. Por ejemplo, Sectigo emite distintos tipos de certificados intermedios para fines específicos. Un ejemplo es su CA Intermedia de Firma de Código, que se utiliza exclusivamente para emitir certificados de firma de código. Este intermediario garantiza que el software y las aplicaciones estén verificados y sean seguros.

Cómo obtener un certificado intermedio

Las CA emiten certificados intermedios a organizaciones que gestionan sus propias CA subordinadas. Los usuarios normales no suelen generarlos ni solicitarlos.

Para obtener una, debes tener una relación establecida con una CA de confianza que te permita actuar como CA subordinada.

Si eres una organización que gestiona una Infraestructura de Clave Pública (PKI), puedes solicitar un certificado intermedio a una CA. A menudo tendrás que demostrar la seguridad de tus sistemas y tu intención de emitir certificados de forma responsable.

Cuando se emite un certificado de usuario final, la CA suele proporcionar un paquete de CA, que incluye los certificados intermedios necesarios para establecer una cadena de confianza desde el certificado de usuario final hasta el certificado raíz. Este paquete se instala en el servidor y permite a los navegadores validar correctamente el certificado, incluso en versiones heredadas.


Usos comunes de los certificados intermedios

Las Autoridades de Certificación utilizan certificados intermedios para proteger sus certificados raíz mientras emiten certificados a los clientes. He aquí cómo encajan:

  • Delegar la confianza: Los certificados raíz rara vez se utilizan directamente porque comprometer a un raíz socavaría la confianza en toda la CA. Los certificados intermedios actúan como intermediarios, firmando certificados de usuario final en nombre de la raíz y preservando el certificado raíz.
  • Encadenamiento de certificados: Cuando una CA emite un certificado intermedio, lo encadena entre el certificado raíz y el certificado final que utiliza un sitio web o un servidor. Esta cadena valida la autenticidad del certificado por parte de navegadores y sistemas.
  • Emisión de diferentes tipos de certificados: Los certificados intermedios permiten a las CA crear y gestionar certificados para distintos fines (por ejemplo, SSL/TLS para sitios web, firma de código, seguridad del correo electrónico) sin poner en riesgo la raíz.

Dónde se utilizan los certificados intermedios

  • Infraestructuras de CA públicas: Las principales CA, como Let’s Encrypt, DigiCert y otras, emiten certificados SSL/TLS a través de intermediarios. Esta práctica garantiza que los certificados raíz de la CA permanezcan seguros.
  • Sistemas PKI privados: Las empresas con Infraestructuras de Clave Pública (PKI) internas utilizan certificados intermedios para gestionar la confianza dentro de su organización. Pueden emitir certificados intermedios para distintos departamentos o aplicaciones, cada uno responsable de firmar sus certificados de usuario final.
  • CAs subordinadas: Las grandes organizaciones pueden recibir certificados intermedios de una CA primaria. Estas organizaciones pueden actuar como CA subordinadas, emitiendo certificados para dominios o servicios específicos.

Certificado CA intermedio en acción

Imagina una tienda online que utiliza SSL/TLS para asegurar las transacciones. Así es como funcionan los certificados intermedios:

  1. CA Raíz: Emite certificados intermedios a CAs de confianza.
  2. CA intermedia: Firma el certificado SSL para el servidor web de la tienda.
  3. Certificado de usuario final: Instalado en el servidor, cifra los datos entre el servidor y los usuarios.
  4. Verificación: Los navegadores de los usuarios rastrean el certificado SSL a través del certificado intermedio hasta el certificado raíz, confirmando la seguridad de la conexión.

Conclusión

En resumen, los certificados intermedios mantienen una ruta de certificación segura y verificable en el cifrado SSL/TLS. Garantizan que los certificados digitales que aseguran las comunicaciones web sean fiables y dignos de confianza. Comprender su función te ayudará a gestionar y proteger tu entorno digital, tanto si eres un profesional informático, un desarrollador web o acabas de iniciarte en la ciberseguridad.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.