-
Certificados de
seguridad SSL
Aseguramiento de la Informacin y Seguridad
Integrantes: Jos Medina
Nicole Rodrguez
Fecha: 02 / 04 / 2015
Profesor: Sr. Alejandro Mellado
Facultad de Ingeniera Escuela de Ingeniera Informtica Carrera de Ingeniera civil en Informtica
-
Introduccin
El creciente uso de Internet, ha dirigido la atencin hacia un problema
crucial, la privacidad. Para que pueda existir una negociacin en Internet se
requiere que en la mayora de los casos cada entidad participante pueda contar
con una forma eficiente de verificar la identidad de las otras y de esta manera
poder establecer un nivel de confianza. Por lo tanto, se crea un entorno que
garantiza la autenticidad y seguridad de las transacciones en este proceso, esto
es lo que denominamos SSL (Secure Sockets Layer), un protocolo de seguridad
que hace uso de un conjunto de tcnicas criptogrficas asegurando confiabilidad e
integridad de la informacin. En este informe se detallar a mayor cabalidad en
que consiste este protocolo, como funciona, que es un certificado de seguridad y
sus distintos tipos, que son las entidades certificadoras, etc.
El objetivo principal de este trabajo es conocer en qu consisten los
certificados de seguridad y las entidades certificadoras en el contexto de SSL
complementando la discusin realizada en clases.
La metodologa de trabajo fue buscar informacin en distintas pginas web y
recopilar lo ms importante y esencial para complementarlo con la informacin
recabada en el aula de clases.
-
Marco terico
Certificados de seguridad
Los certificados de seguridad o protocolo criptogrficos son principalmente
protocolos de seguridad aplicando mtodos criptogrficos que cumplen con la
funcin de encriptar los datos de las comunicaciones en lnea protegiendo la
informacin a intercambiar entre el ordenador y el servidor para evitar que sea
interceptada, vista o modificada evitando que se haga uso maliciosa de esta por
un tercero (hacker principalmente).Los protocolos de encriptacin incorporan el
establecimiento de claves, autentificacin de claves
Los sitios web que al contar con certificados de seguridad permiten saber quin es
el dueo de dicho sitio, conocer a qu dominio pertenece, la procedencia real del
dueo del sitio, la validez del certificado, as como su fecha de caducidad, y sobre
todo, la empresa que ha emitido el certificado de modo que los usuarios puedan
confiar en que las transacciones que realicen de forma segura.
Es muy comn ver en distintos sitios web el protocolo de seguridad https para
garantizar la integridad y confidencialidad de la informacin:
En caso que el sitio no se ha seguro se informara al usuario que est en peligro si
informacin confidencial:
-
Protocolos criptogrficos avanzados
Una vasta variedad de protocolos criptogrficos van ms all de las metas
tradicionales de confidencialidad de la informacin, integridad y autentificacin
para tambin asegurar una variedad de otras deseadas caractersticas de una
colaboracin mediada por el computador. Firmas ciegas pueden ser usadas por
dinero digital y credenciales digitales para probar que una persona posee el
derecho o atributo sin revelar la identidad de la persona con la que se hace la
transaccin. Estampado de tiempos de seguridad digital puede ser usado para
probar que la informacin existi en un tiempo determinado. Computacin
multigrupal segura puede ser usada para computar respuestas basadas en una
informacin confidencias, de manera que cuando el protocolo est completa los
participantes saben solamente lo que ingresaron y la respuesta. Y un sinfn de
otros tipos de protocolos criptogrficos que buscan aumentar la cantidad de
propsitos para los cuales pueden ser usados.
Protocolo SSL y certificados de seguridad:
Secure Socket Layer (SSL) es un protocolo criptogrfico que fue propuesto
en el ao 1994 por Netscape Communications Corporation con su primera versin
del Navigator, sin embargo, no fue hasta su tercera versin, conocida como SSL
v3.0 que alcanz su madurez, superando los problemas de seguridad y
-
limitaciones de sus predecesores. No es exclusivo del comercio electrnico, sino
que sirve para cualquier comunicacin va internet y por lo tanto, tambin para
transacciones econmicas. SSL est incorporado a muchos navegadores web
adems del navigator de Netscape, y el Internet Explorer de Microsoft. Hoy
constituye la solucin de seguridad implantada en la mayora de los servidores
web y utiliza el sistema de codificacin con dos claves, una pblica y otra privada.
Para poder establecer una conexin de tipo SSL, este protocolo requiere que el
servidor tenga instalado un certificado de seguridad, un archivo que identifica a
un individuo o a servidores, son como una especie de credencial que autentica a
estos para poder establecer una sesin SSL.
De los sistemas criptogrficos simtricos (de llave secreta), motor principal
de la encriptacin de datos transferidos en la comunicacin, se aprovecha la
rapidez de la operacin. Estos sistemas adicionan cdigos de autenticacin de
mensajes para garantizar la integridad de los datos. Por su parte los sistemas
asimtricos (de llave pblica) se utilizan para el intercambio seguro de las claves
simtricas consiguiendo con esto resolver el problema de la confiabilidad en la
transmisin de datos.
Existen dos reas en donde se realiza la aplicacin de certificados SSL:
a) Para asegurar la comunicacin entre el explorador y el servidor web es la
principal aplicacin de certificados SSL, se utiliza con mayor frecuencia en
sitios web de comercio electrnico por que brinda confianza y garantiza que
se realizar la transferencia sobre los pagos.
b) Para asegurar la comunicacin entre servidores ya que la aplicacin de
certificados SSL permite mejorar la seguridad de los datos y la privacidad
de la red en una empresa. Usualmente se utiliza para asegurar la
comunicacin entre servidores de correo electrnico, para asegurar sitios
ftp, bases de datos, etc.
-
La tecnologa SSL protege las transacciones en lnea y ayuda a incrementar la
confianza en un sitio web de 3 maneras:
Habilita el cifrado de informacin sensitiva durante las transacciones en
lnea.
Cada certificado de seguridad es una credencial nica que identifica al
propietario del certificado.
Una autoridad de certificado autentica la identidad del propietario del
certificado digital antes de que sea emitido.
Para qu sirve un Certificado de seguridad:
Garantiza que la informacin intercambiada no pueda ser robada, alterada
o interceptada por terceras personas, adems asegura que el intercambio
de la informacin es entre las entidades esperadas.
Demuestra que un mensaje con datos ha sido enviado por la persona que
dice haberlo enviado y que su contenido ha sido enviado por esa persona.
Hacer que la informacin que se intercambia ser inaccesible para una
tercera persona.
Evita que la informacin enviada no sea alterada en el camino hasta su
recepcin, tomando medidas en el caso de que as sea.
Proporciona la certeza de que las transacciones han sido realizadas entre
las partes y ninguna de ellas la pueda negar.
-
SSL funciona de manera transparente para los usuarios, sin embargo lo que en
realidad ocurre al intentar acceder a un sitio seguro se asemeja al siguiente
diagrama:
Iniciando comunicacin segura:
En el tem uno del diagrama el navegador al realizar una peticin al sitio seguro
de Facebook enva un mensaje indicando que desea establecer una conexin
segura y enva datos sobre la versin del protocolo SSL/TSL que soporta y otros
parmetros que se necesitan para realizar la conexin. A partir de la informacin
enviada por el navegador, el servidor web de Facebook informa que est de
acuerdo en establecer la conexin segura con los datos e SSL/TSL
proporcionados. (2) Cuando ambos conocen los parmetros de conexin, el sitio
presenta su certificado digital al navegador para identificarse como un sitio
confiable.
-
Verificacin de validez del certificado:
Cuando el navegador ya tiene el certificado del sitio web realiza algunas
verificaciones antes como la integridad del certificado, aqu revisa que el
certificado se encuentre ntegro, esto lo realiza descifrando la firma digital incluida
en el mediante la llave publica de la AC y la compara con una firma del certificado
generada en ese momento, si son iguales entonces ste es vlido. Tambin
verifica la vigencia del certificado, revisando el periodo de validez de ste, es decir
la fecha de emisin y expiracin. Otro aspecto importante es verificar el emisor
del certificado haciendo uso de una lista de certificados raz que se encuentran
almacenados en la computadora y que posee las llaves pblicas de las ACs
conocidas y de confianza. En base a esta lista el navegador revisa que la AC del
certificado sea de confianza
Establece la conexin segura:
Al verificar que el certificado cumple con todas las pruebas del navegador se
establece la conexin segura al sitio Facebook, lo que nos garantiza la seguridad
de nuestros datos.
Tipos de certificados
Existen diferentes tipo de certificados SSL que se pueden usar en un sitio
Web, creo que bsicamente todo depender de las necesidades, gustos y
capacidad monetaria que se tenga, pero principalmente depender de las
necesidades.
-
Certificados compartidos (Shared Certificates):
Estos certificados por lo general son gratuitos, y son dados de esta forma para
empresas de hospedaje Web como los revendedores (Hosting reseller) o en otros
caso pueden ser generados de forma personal (usando OpenSSL por ejemplo) o a
travs de algn servicio que preste un sitio Web. Cumplen su funcin (de forma
bsica), pero el hecho de ser compartidos no los relaciona directamente con el
nombre de dominio del sitio Web, esto provocar los mensajes de alerta de los
que habl antes. Creo que ese punto qued claro, pero hagamos un ejemplo para
ilustrarlo mejor: cuando un usuario visite mi sitio Web dominio.com se intentar
verificar/autenticar a travs del certificado de seguridad que est emitido por
certdominio.com, esto generar la desconfianza ya que ambos dominios son
diferentes.
Estos certificados son apropiados para asegurar la conexin con un sitio Web o el
servidor de un sitio Web, pero no sern usados por el todos los visitantes. Por
ejemplo, para ingresar en el rea administrativa de tu sitio.
Los certificados compartidos no son apropiados para el comercio electrnico, en
estos casos se usan certificados privados, en donde el certificado est
relacionado/emparentado con el dominio.
Certificados de validacin de nombre de dominio (Domain Validated
Certificate):
Estos son los certificados SSL ms bsicos, se enfocan en validar solo el
nombre de dominio (dominio.com). Es ideal para situaciones en las que los
visitantes del sitio necesitan ingresar a zonas seguras, bien sea para ingresar
datos personales (nombre de usuario, contrasea, email, etc.) o realizar pagos con
tarjetas de crdito. A diferencia de los certificados compartidos, estos no sern
objeto de mensajes de advertencia por parte de los navegadores.
-
Estos certificados son apropiados para cualquier situacin en donde se quiera
asegurar la comunicacin entre el sitio Web y sus visitantes, y pueden ser
adquiridos por cualquier persona. Sus costos son bajos en la mayora de los
casos.
Certificados de validacin de compaas (Company Validated Certificate):
Estos certificados son muy similares a los de validacin de dominios, la
diferencia es que para estos es necesario validar datos de la propia compaa y no
solo su dominio. Ms validacin, ms seguridad.
Desde un punto de vista de negocio y reputacin, una compaa que use
este tipo de certificado de seguridad, no solo est validando su dominio
(dominio.com) sino tambin su empresa. Esto es un poco superficial pero de
alguna manera y hasta cierto punto, el hecho de que un tercero (asociacin
certificadora) valide la empresa (y no solo su dominio) generar mayor confianza a
sus clientes. Es una cuestin de reputacin si se quiere.
Certificado de validacin extendido (Extended Validation Certificates EV):
Estamos ante el top de los certificados. El proceso de verificacin es an
mayor, se necesitarn verificar una buena cantidad de datos, tanto del sitio Web
como de la empresa que lo administra, incluyendo cuestiones jurdicas. Tanto los
requerimiento como los procedimientos son minuciosos.
La barra verde es exclusiva de este certificado. Les asegura a los visitantes
que estn ante una empresa/organizacin validada y asegurada. Adems, un sitio
protegido mediante este certificado hace que los navegadores web muestren el
nombre de la organizacin junto a la barra de direcciones (en este caso verde) y al
nombre de la autoridad de certificacin que lo emiti. El navegador y la autoridad
-
de certificacin controlan la visualizacin, lo que hace que las tcnicas de phishing
sean ms difciles de aplicar.
Certificados Wildcard (Wildcard Certificates):
Estos certificados permiten usar un nico certificado SSL para ser usado en
mltiples subdominios. Por ejemplo, el certificado ser usado para dominio.com,
compras.dominio.com, contacto.dominio.com, etc.
Certificados Multi-dominio (Multi-Domain Certificates)
Estos son similares a los Wildcard, la diferencia es que en este caso son
usados para dominios (y no subdominios). Por ejemplo, el certificado ser usado
para dominio.com, dominio.net, dominio.org, etc.
Conociendo un Certificado de seguridad
El formato de los certificados digitales es estndar, siendo X.509 v3 el
recomendado por la Unin Internacional de Comunicaciones (ITU) y el que est en
vigor en la actualidad. El aspecto de los certificados x.509 v3 es el siguiente:
-
Los datos que figuran generalmente en un certificado de seguridad son:
1) Versin: Versin del estndar x.509, generalmente es la 3 que es la ms
reciente.
2) Nmero de serie: Es el nmero identificador del certificado, nico para
cada certificado expedido por una AC determinada.
3) Algoritmo de firma: Es el algoritmo criptogrfico utilizado para la firma
digital.
4) Autoridad Certificadora: Son los datos sobre la autoridad que expide el
certificado.
5) Fecha de inicio y fin de validez del certificado: Definen el periodo de
validez del mismo (generalmente es un ao).
6) Propietario: Es la persona o entidad vinculada al certificado, aqu se
utilizan una serie de abreviaturas para establecer los datos de identidad. Un
ejemplo se encuentra en la siguiente imagen:
-
7) Llave pblica: Es la representacin de la llave pblica que se vincula a la
persona o entidad (en hexadecimal) junto al algoritmo criptogrfico para el
que es aplicable.
8) Algoritmo utilizado para la misma para obtener la firma digital de la
autoridad certificadora.
9) Firma de la Autoridad Certificadora que asegura la autenticidad del mismo.
10) Informacin adicional.
Entidades certificadoras
Los certificados de seguridad son generados por una entidad de servicios
de certificacin quien autoriza o revoca certificados en relacin con las firmas
digitales delas personas, facilitando los servicios de registro y estampado
cronolgico de la transmisin / recepcin de mensajes de datos que pueden ser
pblicas o privadas, extranjeras o nacionales, entidades de certificacin abiertas o
cerradas, etc.
En la actualidad existen mltiples entidades certificadoras que pueden
proporcionar certificados de seguridad validados de los cuales podemos observar
a continuacin:
Logo URL
http://www.symantec.com/es/mx/ssl-
certificates/
-
https://www.geotrust.com/
https://www.thawte.com/
https://www.enterprisessl.com/
https://www.globessl.com
https://www.mcafeesecure.com/
Firma electrnica
La firma electrnica es un mtodo criptogrfico que asocia la identidad de
una persona o de un equipo informtico al mensaje o documento. En funcin del
tipo de firma, puede, adems, asegurar la integridad del documento o mensaje. La
firma electrnica es muy similar a la firma digital pero se diferencian en que la
firma electrnica confiere un marco normativo que otorga validez legal al
documento asocindose a este para poder identificar al autor, contenido y
garantizar su contenido. Pueden existir certificados sin firmas pero no firmas sin
certificados.
-
Conclusiones
- SSL se basa en la aplicacin conjunta de criptografa simtrica (de llave
secreta), criptografa asimtrica (de llave pblica), certificados digitales y
firmas digitales para poder conseguir un canal o medio seguro de
comunicacin a travs de internet.
- La proteccin de nuestra informacin es lo que nos proporcionan los protocolos de seguridad y encriptacin evitando que nuestra informacin
personal sea robada o mal utilizada por agentes externos. Del robo de
informacin nacen las instituciones certificadoras que validan y certifican los
sitios web o redes que utilizamos para poder as realizar operaciones de
manera segura dando seguridad a los usuarios que no sern hackeados o
caso contrarios que estn en peligro y que su informacin puede ser mal
obrada.
- Las nuevas versiones perfeccionadas y estables de SSL permiten asegurar
que es el protocolo por excelencia para garantizar la seguridad en el
intercambio de informacin entre un cliente y el servidor en la web. Siendo
unos de los mecanismos de seguridad ms utilizados en la actualidad y que
viene incorporado a la mayora de los navegadores.
- SSL es independiente de la aplicacin que lo utilice, es decir, que no solo
puede ser utilizado para ofrecer seguridad en las comunicaciones HTTP,
sino tambin en aplicaciones como IMAP, FTP, Telnet, etc.
- La instalacin de SSL depender del servidor web a utilizar pero en
cualquier caso, poseer un certificado digital es de vital importancia para la
garanta en la seguridad del protocolo y de esta manera volver a un sitio
web confiable y seguro para las distintas transacciones a realizar.
-
Bibliografa
http://es.wikipedia.org/wiki/Protocolo_criptogr%C3%A1fico
http://www.exabyteinformatica.com/uoc/Informatica/Criptografia_avanzada/
Criptografia_avanzada_(Modulo_3).pdf
http://docsetools.com/articulos-utiles/article_111127.html
https://www.segu-info.com.ar/proyectos/p1_protocolos-y-estandares.htm
http://www.santafelegal.com.ar/ayudas/Transferencia%20segura%20con%20SSL%20-%20thawte.pdf
http://revista.seguridad.unam.mx/numero-10/el-cifrado-web-ssltls http://spi1.nisu.org/recop/al02/arcano/index.html
https://www.globalsign.es/centro-informacion-ssl/que-es-un-certificado-ssl.html
http://www.criptored.upm.es/intypedia/docs/es/video9/DiapositivasIntypedia009.pdf
