¿Qué es un certificado autofirmado y cómo crearlo?
Un certificado autofirmado es un certificado digital emitido y firmado por la entidad que lo utiliza, no por una Autoridad de Certificación (CA). Aunque es económico y rápido de crear, no se recomienda para sitios públicos o datos sensibles debido a riesgos de seguridad, falta de revocación y validación externa. Es más adecuado para entornos de pruebas internas. Los riesgos incluyen advertencias de navegador, vulnerabilidad y cifrado comprometido. Su creación requiere una clave privada, una solicitud de firma (CSR) y la emisión del certificado. Considere CA confiables para mayor seguridad.
Tabla de Contenidos
Actualización: 4 de diciembre de 2023
Un certificado SSL / TLS autofirmado es un certificado digital que no está firmado por una Autoridad de Certificación (CA) de confianza pública. Los certificados autofirmados se consideran diferentes de los certificados firmados por CA tradicionales porque los crea, emite y firma la empresa o el desarrollador responsable del sitio web o el software asociado al certificado, en lugar de una CA de confianza.
A un alto nivel, estos certificados autofirmados se basan en la misma arquitectura criptográfica de par de claves privada y pública que se utiliza en los certificados X.509. Sin embargo, no cuentan con la validación de una CA de terceros de confianza, como Sectigo, lo que significa que el certificado no está encadenado a una CA raíz o a un certificado intermedio como los emitidos por una CA de confianza. Esta falta de validación independiente en el proceso de emisión crea un riesgo adicional, que es el problema de utilizar certificados autofirmados. Se consideran poco seguros para sitios web y aplicaciones de cara al público y normalmente sólo se utilizan en entornos internos de desarrollo y pruebas.
Riesgos y errores asociados a los certificados autofirmados
Existen numerosas advertencias de seguridad y preocupaciones asociadas a los certificados SSL autofirmados, por lo que casi nunca se recomiendan.
Ventanas emergentes de advertencia de seguridad
Cada vez que un usuario visita un sitio que utiliza este tipo de certificado (que nunca se recomienda en un sitio de cara al público), se le mostrará inmediatamente una ventana emergente de advertencia de seguridad con errores como «error_self_signed_cert» o «err_cert_authority_invalid» en la que el usuario debe confirmar que desea continuar. Estos errores son provocados por el navegador del usuario y no por el propio sitio web, lo que añade legitimidad a las preocupaciones del usuario al tiempo que introduce un paso adicional a la visita del sitio web. Ningún navegador web moderno confía en los certificados autofirmados y el navegador no mostrará el símbolo del candado ni el estado HTTPS para el nombre de dominio.
Estas advertencias generan miedo e inquietud en los visitantes de un sitio web. Dan la impresión de que el sitio puede estar en peligro y que es posible que no proteja adecuadamente sus datos. Es comprensible que los visitantes no compartan información personal o confidencial en un sitio web que, según su navegador de confianza, podría carecer de las medidas de seguridad adecuadas.
Sin actualizaciones de seguridad ni revocación de certificados
Como ya se ha mencionado, los certificados propios no necesitan renovarse porque nunca caducan. Esto significa que nunca se actualizan o cambian para corregir vulnerabilidades o cumplir las normas de seguridad más recientes. Esto deja su entorno vulnerable a hackers y ciberataques.
Del mismo modo, como no se pueden revocar, esto también significa que los certificados antiguos pueden estar viviendo en entornos sin que el personal lo sepa. Esto puede aumentar el riesgo de que los certificados sean explotados. Un método popular de explotar un certificado autofirmado es un ataque man-in-the-middle, que permite ver los datos compartidos a través del protocolo TLS/SSL, exponiendo a los visitantes al robo de identidad y a la intrusión en el sistema.
Error de certificado autofirmado en la cadena de certificados
Si un desarrollador o un equipo de TI intenta utilizar un certificado SSL autofirmado, es posible que se encuentre internamente con el error «certificado autofirmado en la cadena de certificados» si utiliza OpenSSL. En las comunicaciones SSL/TLS, la confianza se establece a través de una cadena de certificados que se remontan a una CA raíz de confianza. Cuando se encuentra un certificado autofirmado en esta cadena, se rompe el modelo de confianza, ya que este tipo no es intrínsecamente de confianza.
Los certificados emitidos por una CA de confianza tienen una cadena de confianza que se remonta a esa CA, lo que garantiza su legitimidad. En cambio, un certificado autofirmado lo crea y firma la entidad que lo presenta, no una CA de confianza. Por ello, no son de confianza automática, ya que no hay validación externa de la identidad de la entidad. Esto supone un riesgo para la seguridad, ya que podría permitir a un atacante presentar un certificado fraudulento, engañando potencialmente a los clientes para que establezcan una conexión segura con un servidor malicioso.
Este error que aparece puede evitarse, pero se da como medida de seguridad para alertar del riesgo potencial asociado a un certificado autofirmado.
Finalidad de un tipo de certificado autofirmado
Aunque pueden ser arriesgados, los certificados autofirmados tienen su utilidad y presentan algunas ventajas. Son gratuitos, fáciles de solicitar para los desarrolladores, cifran los datos con los mismos métodos que los certificados SSL de pago, no caducan y no es posible revocarlos. Sin embargo, cuando se trata de seguridad general, los riesgos suelen superar a las ventajas.
La principal ventaja de un certificado SSL autofirmado es que están disponibles sin coste alguno y pueden ser solicitados fácilmente por cualquier desarrollador. Además, las organizaciones tienen la ventaja de saber que los certificados SSL autofirmados cifran los datos entrantes y salientes aplicables utilizando los mismos métodos que otros certificados SSL/TLS de pago.
Además, las organizaciones tienen la ventaja de saber que los certificados SSL autofirmados cifran los datos entrantes y salientes aplicables utilizando los mismos métodos que otros certificados SSL/TLS de pago.
Los certificados autofirmados no caducan ni es necesario renovarlos tras un periodo de tiempo determinado, como es el caso de los certificados de CA. Aunque esto parece conveniente, es una de las mayores preocupaciones, ya que significa que no pueden cumplir con las actualizaciones de seguridad en respuesta a las vulnerabilidades descubiertas, ni cumplir con la agilidad de certificado necesaria para asegurar la empresa moderna de hoy. Por ello, este método de autenticación rara vez se recomienda.
Además, la revocación de certificados no es posible con los certificados autofirmados. Esto expone la criptografía utilizada a amenazas externas en caso de que el certificado se olvide o permanezca en sistemas abiertos a agentes maliciosos. Los riesgos asociados a estos certificados a menudo superan los beneficios, ya que la ciberseguridad es primordial para cualquier organización.
¿Debo utilizar un certificado SSL autofirmado?
Al elegir este tipo de certificado SSL, usted está esencialmente solo. Esto significa que no cuenta con el respaldo de una autoridad de certificación de confianza ni con la aplicación de los últimos métodos criptográficos necesarios para garantizar la autenticación y el cifrado adecuados de datos, dispositivos y aplicaciones.
Estos certificados conllevan muchos riesgos, especialmente si se utilizan de cara al público. Son increíblemente arriesgados para un sitio web que maneje cualquier tipo de información privada, como registros sanitarios, fiscales o financieros. La exposición de esta información no sólo daña la confianza de la marca, sino que puede perjudicar financieramente a una organización a través de multas y sanciones por medio de la regulación de privacidad aplicable. Por estas razones, nunca se recomiendan en sitios web o aplicaciones de cara al público.
Muchos asumen que usar certificados autofirmados internamente no conlleva ningún riesgo cuando se despliegan en áreas como portales de empleados o sitios de comunicación, pero eso no es cierto. Seguirán provocando advertencias del navegador y de seguridad. Como estas advertencias pueden ignorarse, las organizaciones suelen dar instrucciones a sus empleados para que lo hagan. La seguridad del sitio interno está garantizada, por lo que esto conlleva pocos perjuicios directos. Sin embargo, esto puede provocar inadvertidamente que los empleados se acostumbren a ignorar ese tipo de advertencias. Ese tipo de comportamiento puede exponer a la organización a mayores riesgos y oportunidades de vulnerabilidad.
Cómo crear un certificado autofirmado
Aunque no se recomiendan los certificados autofirmados debido a los riesgos de seguridad que implican, configurar el archivo de configuración y completar el proceso de emisión es sencillo, dependiendo de su entorno, como los servidores Apache o Ubuntu Linux.
Generar una clave privada
Para crear el certificado SSL son necesarios tanto un archivo de clave privada como una solicitud de firma de certificado (CSR). El proceso comienza con la solicitud de una clave privada a su CA. Las claves privadas son claves criptográficas generadas utilizando algoritmos como RSA y ECC. Las claves RSA son uno de los sistemas criptográficos más antiguos para este proceso y son soportadas por muchos planforms.
Aunque no se recomiendan los certificados autofirmados, aquí hay un ejemplo de código para generar una clave con el siguiente comando:
openssl genrsa -aes256 -out nombredelservidor.pass.key 4096
El comando le pedirá una frase de contraseña. La CA puede utilizar la frase de contraseña para autenticar al propietario del certificado si éste debe revocarse por cualquier motivo.
Generar una CSR
Una vez generado, el archivo de clave privada se ubicará en el directorio actual como nombredelservidor.key y se utilizará para generar la CSR. A continuación se muestra un ejemplo de código para la solicitud de firma de certificado para un certificado autofirmado:
openssl req -nodes -new -key nombredelservidor.key -out nombredelservidor.csr
A continuación, deberá introducir varios datos, como la organización, la unidad organizativa, el nombre del país, el estado, la localidad y el nombre común. El nombre común suele ser el nombre de dominio (dns) o la dirección IP de la ubicación.
Después de introducir esta información, se ubicará un archivo servername.csr en el directorio actual con el archivo de clave privada servername.key.
Emitir un certificado
Por último, se genera un nuevo certificado (.crt) a partir de los archivos server.key (archivo de clave privada) y server.csr. El certificado generado puede ser un certificado raíz o uno intermedio, dependiendo de su aplicación de la cadena de confianza. He aquí un ejemplo de comando para generar un nuevo certificado:
openssl x509 -req -sha256 -days 365 -in nombre_servidor.csr -signkey nombre_servidor.key -out nombre_servidor.crt
De forma similar al paso anterior, su archivo servername.crt se encontrará en el directorio actual.
Evite el riesgo
Los certificados autofirmados pueden crear riesgos significativos cuando se despliegan en cualquier entorno, interno o de cara al público, por lo que no se recomienda este método.
Póngase en contacto con Sectigo para obtener más información sobre nuestros certificados SSL/TLS de confianza y nuestra plataforma de gestión del ciclo de vida de los certificados.
¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.
Articles associés :
Explicación de los 7 tipos de certificados SSL
Qué ocurre cuando caduca su certificado SSL y cómo renovarlo