Redirecting you to
Click if you are not redirected within 5 seconds
Suche
USD
Español
Ponte en contacto
Prueba gratuita
Entrada de blog jun. 25, 2024

Certificados intermedios frente a certificados raíz

Los certificados raíz y los intermedios garantizan la seguridad en PKI. Los certificados raíz establecen confianza, mientras que los intermedios conectan con los usuarios finales. Conocer sus diferencias es clave para la ciberseguridad.

Tabla de Contenidos

1. ¿Cuáles son las diferencias entre los certificados raíz y los certificados intermedios?
2. Comprender los certificados digitales
3. ¿Qué es un certificado intermedio?
4. ¿Qué es un certificado raíz?
5. Diferencias entre certificados intermedios y certificados raíz

¿Cuáles son las diferencias entre los certificados raíz y los certificados intermedios?

La infraestructura de clave pública (PKI) es un marco fundamental que verifica la autenticidad de las entidades en línea y garantiza la seguridad de la comunicación digital. Los certificados digitales son el núcleo de la PKI: diferentes certificados trabajan juntos para crear una estructura jerárquica que establece una cadena de confianza, garantizando la seguridad e integridad del intercambio de información en línea.

Examinemos las funciones de los certificados raíz e intermedios, por qué son importantes, sus diferencias y cómo funcionan juntos para respaldar la comunicación segura en línea.

Comprender los certificados digitales

Los certificados digitales garantizan la seguridad e integridad de la comunicación digital mediante mecanismos de autenticación y cifrado. Estas credenciales criptográficas verifican la identidad de un usuario, dispositivo, servidor, sitio web u organización y vinculan la identidad a una clave pública. Cada certificado contiene información sobre la clave, la identidad del propietario, la Autoridad de Certificación (CA) emisora y otros detalles relevantes.

Los certificados forman parte de un marco PKI de herramientas, políticas y procesos para crear y gestionar claves públicas. Este marco admite funciones como la verificación de identidad, el cifrado y la firma digital. La PKI utiliza certificados digitales para establecer una cadena de confianza:

  • Un usuario genera una clave pública para el cifrado y una clave privada para el descifrado.
  • El usuario envía una Solicitud de firma de certificado (CSR), que contiene la clave pública del usuario y la información de identidad, a una CA.
  • La CA autentica la identidad del usuario y emite un certificado, firmado con su clave privada.

Cuando se empieza con el certificado raíz en la parte superior y se establece una lista jerárquica de certificados que verifican la autenticidad del que está debajo, se crea una cadena de confianza.

Las CA verifican la identidad de las entidades que solicitan certificados y emiten certificados vinculando claves públicas a identidades. También son responsables de mantener la Lista de revocación de certificados o de utilizar el Protocolo de estado de certificados en línea (OCSP) para garantizar que los delincuentes no puedan utilizar certificados revocados con fines maliciosos.

¿Qué es un certificado intermedio?

Un certificado intermedio, también conocido como certificado de CA subordinada, se encuentra entre el certificado raíz y el certificado de entidad final (por ejemplo, SSL/TLS) en la cadena de certificados. Firmado por un certificado de nivel superior (por ejemplo, el certificado raíz), puede firmar uno o más certificados de usuario final. A medida que la gestión de la PKI se vuelve más compleja y aumentan los riesgos de actividades fraudulentas, las CA raíz delegan tareas a las CA intermedias para agilizar la gestión y mejorar la seguridad.

Al vincular los certificados raíz con las entidades finales, los certificados intermedios crean una cadena de confianza en la PKI. Cada entidad de la cadena verifica la identidad de la que está debajo. El proceso valida el certificado de la entidad final basándose en la fiabilidad de toda la cadena. Los certificados intermedios suelen tener una validez de 10 a 15 años, ya que la caducidad y renovación periódicas ayudan a mantener la seguridad y eficacia de la PKI.

La importancia de los certificados intermedios

Con las CA intermedias como parte de la cadena de confianza, la CA raíz no necesita utilizar su clave privada directamente para emitir certificados de entidad final. Esta estructura mejora la seguridad porque la clave privada de una CA intermedia comprometida no afectará a la clave de la CA raíz, a su fiabilidad o a su capacidad para emitir nuevos certificados. La jerarquía también proporciona una estructura bien definida y escalable para verificar la autenticidad de cada certificado.

Además, una CA intermedia revocada no afectará a toda la PKI. Esto favorece la flexibilidad operativa y permite un control y una gestión granulares de los certificados. Una CA intermedia comprometida no afecta automáticamente a la fiabilidad de todos los certificados de entidad final o de la CA raíz. Esta compartimentación ayuda a limitar el daño potencial de las brechas de seguridad, permite a las organizaciones aislar y abordar los problemas de manera eficiente y favorece una PKI resistente.

¿Qué es un certificado raíz?

Un certificado raíz se encuentra en la parte superior de la jerarquía de certificados. Es un certificado autofirmado y es el ancla de confianza definitiva para toda la PKI. La clave pública del certificado raíz verifica las firmas digitales de los certificados intermedios, que, a su vez, validan las de las entidades finales para garantizar una comunicación digital segura y verificable. Los certificados raíz tienen una vida útil de hasta 25 años y deben almacenarse fuera de línea en entornos de alta seguridad.

La función más importante de un certificado raíz es establecer la confianza en la PKI. Es de confianza inherente y su clave pública está preinstalada o distribuida de forma segura a las partes que confían en él, como los navegadores web o los sistemas operativos. Un certificado raíz de confianza es un certificado digital X.509 único para emitir otros certificados. 

¿Por qué son importantes los certificados raíz?

Los certificados raíz son la base de la cadena de confianza en una PKI, proporcionando un punto de partida para verificar todos los certificados en la jerarquía y garantizar la autenticidad e integridad de cada certificado. El CA/B Forum desarrolla estándares para la emisión y gestión de certificados. Esto es crucial para mantener un ecosistema de certificados estandarizado, de modo que los usuarios puedan extender la confianza a todos los certificados firmados por la raíz y sus certificados intermedios.

Los certificados raíz y sus claves públicas están preinstalados en software popular como los navegadores web para garantizar que se reconozcan y sean de confianza de forma predeterminada. Los sistemas operativos también almacenan certificados raíz en sus almacenes de certificados (por ejemplo, el almacén raíz de Microsoft o Apple). Se actualizan regularmente para añadir nuevos certificados raíz y eliminar los caducados o comprometidos.

Diferencias entre certificados intermedios y certificados raíz

Los certificados raíz se encuentran en la parte superior de la jerarquía de certificados. Son autofirmados, tienen el nivel de confianza más alto y no dependen de otras autoridades para establecer la confianza. Por su parte, los certificados intermedios se encuentran entre los certificados raíz y los certificados de entidad final.

Son emitidos y firmados por el certificado raíz y pueden firmar otros certificados intermedios o de entidad final.

Los certificados raíz están preinstalados en el software o se distribuyen de forma segura a través de almacenes de certificados. Por su parte, los certificados intermedios no tienen raíces en los almacenes de confianza y normalmente no están preinstalados en los sistemas. Sus raíces enlazan con las CA raíz de confianza que los emiten.

La revocación de un certificado raíz es un acontecimiento significativo y puede requerir actualizaciones generalizadas de numerosos programas y aplicaciones. El impacto de la revocación de un certificado intermedio es más localizado, afectando solo a una rama específica de la cadena de certificados. Además, las CA raíz se mantienen fuera de línea por motivos de seguridad. Solo firman CA intermedias, que, a su vez, firman certificados de usuario final y de servidor.

Los certificados raíz e intermedios comparten algunas similitudes. Ambos son esenciales para establecer una cadena de confianza en la PKI y contienen información como claves públicas, detalles del emisor y firmas digitales. Ambos han sido sometidos a rigurosos procesos de verificación para garantizar su autenticidad, integridad y cumplimiento con la jerarquía de la PKI. Trabajan juntos para garantizar la seguridad de la PKI y la fiabilidad de la comunicación digital.

Cómo funcionan juntos los certificados raíz e intermedios

Los certificados raíz e intermedios funcionan juntos para formar una cadena de confianza:

  • Una CA raíz firma un certificado intermedio para crear el primer eslabón de la cadena de confianza.
  • El certificado intermedio firma otros certificados. Cada certificado de la cadena verifica la identidad del que está debajo hasta llegar al certificado de entidad final.
  • Durante un apretón de manos SSL/TLS, el servidor web presenta su certificado SSL/TLS al cliente (por ejemplo, un navegador), que comprueba la firma del certificado y sigue la ruta de certificación hasta el certificado raíz para verificar su legitimidad.

Cómo puede ayudar Sectigo

Los certificados raíz e intermedios son esenciales para proteger la PKI. Trabajan en estrecha colaboración para verificar la identidad de cada certificado en la cadena de confianza y respaldan mecanismos sólidos de autenticación y cifrado para reforzar la ciberseguridad y la integridad de los datos.

La compra de certificados digitales a una CA de confianza garantiza la seguridad de su infraestructura de TI, sitios web, servicios en línea y aplicaciones. Sectigo cuenta con varios certificados de CA raíz de confianza y muchos certificados de CA intermedios. También emitimos certificados de entidad final, como certificados SSL/TLS, para que pueda gestionar todas las compras de certificados en un solo lugar. Esto agiliza la gestión de certificados y garantiza políticas de seguridad coherentes en toda la jerarquía de certificados.

Además, nuestros certificados se integran a la perfección con nuestro gestor de certificados Sectigo, independiente de la CA, para ayudarle a simplificar y automatizar la gestión del ciclo de vida de los certificados y obtener visibilidad en tiempo real de todos los activos criptográficos.  Obtenga más información y comience una prueba gratuita para experimentar la comodidad de la gestión de certificados desde un único panel.

¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.

By clicking the button below, you consent to allow Sectigo and its affiliates to process the personal information you submitted above to provide you with a response to your inquiry. If you would like to receive additional communications, please select below:

You can unsubscribe at any time. Please check our Privacy Policy to see how we protect and manage your personal information.

Entradas asociadas:

¿Qué es un certificado digital?

¿Qué es la cadena de confianza de los certificados SSL?

Explicación de los 7 tipos de certificados SSL