Certificados digitales SSL y TLSAbout Me• Ing. Didier Fallas Rojas, Mag.• Director de Redes e Infraestructuraen InterNexo• difaro@internexo.com• Twitter: didierfallas• LinkedIn: didierfallasAgenda• Introducción SSL/TLS• Certificados digitales• Validez certificados• Detalles en los navegadores

• Tipos de certificados• Empresas certificadoras• Creando mi propio certificadoIntroducción alSSL/TLS• SSL: Secure Sockets Layer• TLS: Transport Layer Security• Es una tecnología que establece unaconexión segura entre un cliente(visitante de un sitio web) y un

servidor (servidor web) y hacen quetoda la comunicación sea cifradaIntroducción alSSL/TLS• Los referenciamos como un protocoloque provee un canal seguro entredos dispositivos• El diseño del SSL inicia en 1994 porla empresa NetscapeCommunications y su diseño estaba

orientado exclusivamente aambientes webIntroducción alSSL/TLS• Cronología• IETF: InternetEngineering TaskForce. Genera losdocumentosreconocidos comoRFC. Muchos,estándaresoficiales• TLS: RFC 2246Ref. SSL and TLS.Designing andBuilding SecureSystems

Introducción alSSL/TLS• SSL en la capa de protocolos:Ref. SSL and TLS. Designing and Building Secure Systems

Introducción alSSL/TLS• Aplicaciones conocidas que usanprotocolo de seguridad:– Web– Correo– FTP (FTPS)– VPNHTTP sobre SSL• HTTP fue el primer protocolo en usaruna capa de seguridad SSL

• HTTP sobre SSL comúnmente leconocemos como HTTPS• Puerto 443HTTP sobre SSL• Para los certificados digitales serequiere que el dominio tenga una IPdedicada• Si se usan servidores virtuales(virtual hosts), la forma de conocer eldominio a acceder es mediante el

encabezado Host del protocolo HTTP,sin embargo, cuando se hace lanegociación SSL, esta información nose ha enviadoHTTP sobre SSL• La solución es usar IP realesdedicadas para cada dominio, puesesta información si puede serconsiderada en el flujo de datos SSLCertificados digitales

• ¿Qué es un certificado digital?• Un certificado digital es undocumento electrónico el cual validala identidad de una entidad (persona,empresa, programa) y asocia esaidentidad a una llave públicaCertificados digitales• Es un contenido de códigoalmacenado en el servidor con el fin

de:Ref. Verisign

Certificados digitales• Comunicación entre el servidor y elnavegadorRef. Verisign

Certificados digitales• Comprobación de la validez de uncertificado• Existen tres condiciones para que elcertificado sea válido y aceptado porlos navegadores• Si no se cumple alguna condición el

navegador alerta y recomienda nocontinuar con la sesiónCertificados digitales1. Nombre común CN (Common Name)Debe coincidir con la dirección URLque el usuario digita en el navegadorCertificados digitalesSi el Common Name no coincideCertificados digitalesSi a pesar de la advertencia, aceptoingresar al sitio

Certificados digitalesVerificando el Common Name delcertificado como usuarioCertificados digitales2. El certificado debe estar firmado poruna EC (Entidad Certificadora) válidaCertificados digitalesEntidades certificadores registradas enlos navegadores:Firefox Edición → Preferencias →Avanzado → Cifrado → Ver Certificados

Certificados digitalesChrome Configuración → Mostrarconfiguración avanzada → HTTPS/SSL→ Administrar certificados →AutoridadesCertificados digitales3. El periodo de validez del certificadoCertificados digitalesSignos visibles en el navegadorCertificados digitalesDetalle en OperaCertificados digitalesUsos:

• Transacciones, se requiere validar laautenticidad del dueño de un sistema• Comercio electrónico• Páginas de autenticación• Cifrado de las comunicacionesCertificados digitalesShared Certificates• Brindados por empresas hospedaje• No hay relación con el nombre deldominio• Mensajes de alerta en el navegador

• Cumplen función básica• Se pueden usar para asegurarconexión con una sección admin.Certificados digitalesValidación nombre de dominio• Solo se valida el nombre del dominio• No hay alerta por parte delnavegador• Ideal para asegurar comunicaciónentre sitio web y visitantesCertificados digitales

Validación de organización• El ente certificador valida laexistencia de una organización• Más validación → Más seguridad• Son muy usadosCertificados digitalesDe validación extendida (EV)• Top de los certificados• Mejor proceso de validación• Barra verde exclusiva• Navegadores muestran nombre

organizaciónCertificados digitalesWildcard• Permiten usar un único certificado enmúltiples subdominios• Por ejemplo, se pueda usar para:– midominio.com– www.midominio.com– dev.midominio.com– compras.midominio.comCertificados digitalesMulti-dominio• Se puede usar en múltiples dominios,con nombre igual de segundo nivel y

diferente de primer nivel• Ejemplos:– midominio.com– midominio.net– midominio.orgCertificados digitalesEmpresas certificadoras• Comodo: http://ssl.comodo.com/• DigiCert: http://www.digicert.com/• EnTrust: http://www.entrust.com/• GeoTrust: http://www.geotrust.com/ssl/• GoDaddy: http://www.godaddy.com/ssl/sslcertificates.aspx?ci=8979• Network Solutions: http://www.networksolutions.com/SSLcertificates/index.jsp• Thawte: http://www.thawte.com/• VeriSign: http://www.verisign.com/

Certificados digitales

Creando mi propio certificado (selfsignedcertificates)• Yo soy mi propia autoridadcertificadora. Son los certificadosprivados• Los navegadores no los reconocen yenvían una alerta• Agregando mi ente certificador paraque no esté alertandoCertificados digitalesOpenSSL

• Es una biblioteca de cifrado• Se derivó de SSLeany• La primera versión liberada deOpenSSL fue en 1998• Hay un programa con una ampliavariedad de comandos• http://www.openssl.org/Certificados digitalesIngresando a mi sitio certificadoCertificados digitalesSi avanzo a pesar del mensaje deadvertencia de navegador

Certificados digitalesAgregando la autoridad de certificaciónal navegadorCertificados digitales¡Gracias!difaro@internexo.comTwitter: didierfallasLinkedIn: didierfallas