Los certificados de sitios web seguros de [https://developer.mozilla.org/docs/Web/Security/Transport_Layer_Security Seguridad de la capa de transporte] (TLS) verifican la propiedad y la integridad de la información de los sitios web que visitas. Este artículo explica cómo funciona. __TOC__ =¿Qué sitios web utilizan certificados?= Los sitios web cuyas direcciones comienzan con '''https''' utilizan certificados de servidor TLS. Los sitios web que utilizan certificados de servidor TLS garantizan dos cosas: * El administrador del sitio web posee o tiene control sobre el nombre de dominio, lo que garantiza que los usuarios se conecten al sitio legítimo y no a una copia falsificada o maliciosa del sitio web. * El intercambio de datos cifrados a través de TLS entre el navegador y el sitio web está protegido contra escuchas o manipulaciones por parte de terceros no autorizados. =Cadena de confianza= Navegadores como Firefox verifican los certificados a través de una jerarquía llamada '''cadena de confianza''', que normalmente consta de al menos tres certificados: * El certificado raíz '''(ancla de confianza)''' * Uno o más certificados intermedios * El certificado de servidor TLS '''(entidad final)''' ;[[Image:Chain of trust diagram]] <!-- Localizadores: la imagen "chain-of-trust" es opcional --> El certificado raíz pertenece a una [https://wikipedia.org/wiki/Certificate_authority Autoridad de certificación] (CA) en la que el navegador confía para emitir otros certificados. Normalmente, un certificado raíz emite uno o más certificados intermedios que luego se utilizan para emitir certificados de servidor TLS a organizaciones que pueden demostrar el control sobre los dominios de sitios web especificados por esos certificados. Los certificados se basan en la criptografía de clave pública, en la que un par de claves asimétricas tiene dos claves relacionadas matemáticamente: * '''Clave privada:''' esta clave la mantiene en secreto su propietario y se utiliza para operaciones criptográficas como la firma de datos (incluidos los certificados) o el descifrado de información cifrada con la clave pública. * '''Clave pública:''' esta clave se comparte públicamente y se utiliza para verificar las firmas creadas por la clave privada o para cifrar información que solo la clave privada puede descifrar. Los certificados de clave pública contienen la siguiente información: * Detalles sobre la Autoridad de certificación (CA) que emitió el certificado. * Una clave pública que pertenece a la organización que recibió el certificado. * Detalles de identificación sobre la organización que posee la clave privada (consulta [[#w_certificate-content|Contenido del certificado]] a continuación. Para los certificados de servidor TLS, este es principalmente el nombre de dominio del sitio web). Ahora, podemos describir cómo Firefox determina si un sitio web es seguro. ==¿Cómo verifica Firefox la integridad del certificado?== Así es como Firefox utiliza la cadena de confianza para verificar los certificados de servidor TLS: # Firefox descarga el certificado del sitio web que visitaste. # Firefox comprueba el certificado con su base de datos interna de Autoridades de certificación (CA) de confianza. #* Utiliza la clave pública del certificado de la CA raíz para garantizar que el certificado raíz y los certificados intermedios se hayan firmado correctamente en la cadena hasta el certificado del servidor TLS que ha proporcionado el sitio web. # Firefox comprueba la información del certificado para asegurarse de que el sitio web al que estás conectado coincide con el sitio web que figura en el certificado. # Firefox genera una clave simétrica para cifrar el tráfico HTTP de la conexión. # Firefox cifra la clave simétrica con la clave pública del servidor, que se encuentra en el certificado del servidor. # La clave privada, que se encuentra en el servidor web, descifra los datos de conexión necesarios para completar lo que se conoce como el ''protocolo de enlace TLS'' (''TLS handshake''). Entonces puede producirse una comunicación segura entre Firefox y el sitio web. =Ver un certificado= Para ver un certificado, sigue estos pasos: # Haz clic en el icono del candado [[Image:Fx89Padlock]] en la barra de direcciones. # En el [[Site Information panel|panel de información del sitio]] que se abre, haz clic en {button Conexión segura}. #; [[Image:Fx134SiteInfo-ConnectionSecure]] # En el siguiente panel, haz clic en {button Más información}. #; [[Image:Fx134SiteInfo-MoreInfo]] # En la [[View site information with Page Info|ventana de Información de la página]] que se abre, haz clic en {button Ver certificado}. #; [[Image:Fx134SiteInfo-ViewCert]] Firefox abrirá ahora la página ''about:certificate'' para mostrar información sobre el certificado del sitio web en el que te encuentras: ;[[Image:Fx134SiteInfo-AboutCert]] Las tres pestañas muestran, de izquierda a derecha, el certificado del servidor TLS, el certificado intermedio y el certificado raíz. =Contenido del certificado= Los certificados de servidor TLS contienen la siguiente información: * '''Asunto:''' contiene atributos opcionales, como el nombre del sitio web y otra información sobre la organización propietaria del certificado. * '''Emisor:''' identifica la entidad de la CA que emitió el certificado. * '''Validez:''' muestra durante cuánto tiempo es válido el certificado. * '''Extensión de nombre alternativo del sujeto:''' enumera las direcciones de los sitios web para las que el certificado es válido. * '''Información de la clave pública:''' enumera los atributos de la clave pública del certificado. * '''Número de serie:''' identifica de forma única el certificado. * '''Algoritmo de firma:''' algoritmo utilizado para crear la firma. * '''Huellas digitales:''' hash del archivo del certificado en formato binario [https://wiki.openssl.org/index.php/DER DER]. * '''Uso de la clave''' y '''Uso extendido de la clave''': especifican cómo se puede utilizar el certificado, por ejemplo, para realizar la autenticación del servidor web TLS. * '''ID de clave de sujeto:''' un identificador generado a partir de la clave pública del certificado TLS como una forma de identificar el certificado. * '''ID de clave de autoridad:''' un identificador generado a partir de la clave pública de la CA como una forma de identificar la clave pública correspondiente a la clave privada utilizada para firmar el certificado. * '''Puntos finales de CRL:''' las ubicaciones de la [https://csrc.nist.gov/glossary/term/certificate_revocation_list Lista de revocación de certificados] (CRL) de la CA emisora. * '''Información de la autoridad:''' contiene el método de validación para la autoridad de certificación y el archivo del certificado intermedio. * '''Políticas de certificado:''' contiene punteros al tipo de certificado TLS que es (por ejemplo, información verificada cuando se emitió el certificado). * '''SCT incrustados:''' enumera las [https://www.globalsign.com/en/blog/what-is-certificate-transparency Marcas de tiempo de certificado firmadas] (SCTs). =Certificados problemáticos= Cuando visitas un sitio web cuya dirección comienza con '''https''' y se detecta un problema con el certificado TLS, el navegador mostrará una página de error. El artículo [[What do the security warning codes mean?]] describe los errores de certificado más comunes. Para ver el certificado problemático, sigue estos pasos: # En la página de advertencia, haz clic en {button Avanzado…}. #; [[Image:Fx134SecurityWarning]] # Haz clic en ''Ver certificado''. #; [[Image:Fx134SecurityWarning-ViewCert]] Ahora se mostrará el certificado defectuoso. <!-- see discussion =Eliminar certificados= Puedes eliminar certificados haciendo lo siguiente: # [[Template:optionspreferences]] # Haz clic en {menu Privacidad y seguridad} en el panel izquierdo. # Desplázate hasta la sección '''Certificados'''. # Haz clic en el botón {button Ver certificados…}. #;Aparece la ventana emergente '''Administrador de certificados''' con la pestaña {menu Tus certificados} seleccionada por defecto, que contiene una lista de los certificados asociados. # Haz clic en un certificado de la lista. # Haz clic en el botón {button Eliminar…} en la parte inferior de la ventana emergente. #; Aparece una ventana emergente de confirmación. # Haz clic en el botón {button Aceptar}. #;El certificado ya no se muestra en la pestaña {menu Tus certificados}. -->

Los certificados de sitios web seguros de Seguridad de la capa de transporte (TLS) verifican la propiedad y la integridad de la información de los sitios web que visitas. Este artículo explica cómo funciona.

¿Qué sitios web utilizan certificados?

Los sitios web cuyas direcciones comienzan con https utilizan certificados de servidor TLS. Los sitios web que utilizan certificados de servidor TLS garantizan dos cosas:

• El administrador del sitio web posee o tiene control sobre el nombre de dominio, lo que garantiza que los usuarios se conecten al sitio legítimo y no a una copia falsificada o maliciosa del sitio web.
• El intercambio de datos cifrados a través de TLS entre el navegador y el sitio web está protegido contra escuchas o manipulaciones por parte de terceros no autorizados.

Cadena de confianza

Navegadores como Firefox verifican los certificados a través de una jerarquía llamada cadena de confianza, que normalmente consta de al menos tres certificados:

• El certificado raíz (ancla de confianza)
• Uno o más certificados intermedios
• El certificado de servidor TLS (entidad final)

El certificado raíz pertenece a una Autoridad de certificación (CA) en la que el navegador confía para emitir otros certificados. Normalmente, un certificado raíz emite uno o más certificados intermedios que luego se utilizan para emitir certificados de servidor TLS a organizaciones que pueden demostrar el control sobre los dominios de sitios web especificados por esos certificados.

Los certificados se basan en la criptografía de clave pública, en la que un par de claves asimétricas tiene dos claves relacionadas matemáticamente:

• Clave privada: esta clave la mantiene en secreto su propietario y se utiliza para operaciones criptográficas como la firma de datos (incluidos los certificados) o el descifrado de información cifrada con la clave pública.
• Clave pública: esta clave se comparte públicamente y se utiliza para verificar las firmas creadas por la clave privada o para cifrar información que solo la clave privada puede descifrar.

Los certificados de clave pública contienen la siguiente información:

• Detalles sobre la Autoridad de certificación (CA) que emitió el certificado.
• Una clave pública que pertenece a la organización que recibió el certificado.
• Detalles de identificación sobre la organización que posee la clave privada (consulta Contenido del certificado a continuación. Para los certificados de servidor TLS, este es principalmente el nombre de dominio del sitio web).

Ahora, podemos describir cómo Firefox determina si un sitio web es seguro.

¿Cómo verifica Firefox la integridad del certificado?

Así es como Firefox utiliza la cadena de confianza para verificar los certificados de servidor TLS:

1. Firefox descarga el certificado del sitio web que visitaste.
2. Firefox comprueba el certificado con su base de datos interna de Autoridades de certificación (CA) de confianza.
   • Utiliza la clave pública del certificado de la CA raíz para garantizar que el certificado raíz y los certificados intermedios se hayan firmado correctamente en la cadena hasta el certificado del servidor TLS que ha proporcionado el sitio web.
3. Firefox comprueba la información del certificado para asegurarse de que el sitio web al que estás conectado coincide con el sitio web que figura en el certificado.
4. Firefox genera una clave simétrica para cifrar el tráfico HTTP de la conexión.
5. Firefox cifra la clave simétrica con la clave pública del servidor, que se encuentra en el certificado del servidor.
6. La clave privada, que se encuentra en el servidor web, descifra los datos de conexión necesarios para completar lo que se conoce como el protocolo de enlace TLS (TLS handshake).

Entonces puede producirse una comunicación segura entre Firefox y el sitio web.

Ver un certificado

Para ver un certificado, sigue estos pasos:

1. Haz clic en el icono del candado en la barra de direcciones.
2. En el panel de información del sitio que se abre, haz clic en Conexión segura.

   

3. En el siguiente panel, haz clic en Más información.

   

4. En la ventana de Información de la página que se abre, haz clic en Ver certificado.

   

Firefox abrirá ahora la página about:certificate para mostrar información sobre el certificado del sitio web en el que te encuentras:

Las tres pestañas muestran, de izquierda a derecha, el certificado del servidor TLS, el certificado intermedio y el certificado raíz.

Contenido del certificado

Los certificados de servidor TLS contienen la siguiente información:

• Asunto: contiene atributos opcionales, como el nombre del sitio web y otra información sobre la organización propietaria del certificado.
• Emisor: identifica la entidad de la CA que emitió el certificado.
• Validez: muestra durante cuánto tiempo es válido el certificado.
• Extensión de nombre alternativo del sujeto: enumera las direcciones de los sitios web para las que el certificado es válido.
• Información de la clave pública: enumera los atributos de la clave pública del certificado.
• Número de serie: identifica de forma única el certificado.
• Algoritmo de firma: algoritmo utilizado para crear la firma.
• Huellas digitales: hash del archivo del certificado en formato binario DER.
• Uso de la clave y Uso extendido de la clave: especifican cómo se puede utilizar el certificado, por ejemplo, para realizar la autenticación del servidor web TLS.
• ID de clave de sujeto: un identificador generado a partir de la clave pública del certificado TLS como una forma de identificar el certificado.
• ID de clave de autoridad: un identificador generado a partir de la clave pública de la CA como una forma de identificar la clave pública correspondiente a la clave privada utilizada para firmar el certificado.
• Puntos finales de CRL: las ubicaciones de la Lista de revocación de certificados (CRL) de la CA emisora.
• Información de la autoridad: contiene el método de validación para la autoridad de certificación y el archivo del certificado intermedio.
• Políticas de certificado: contiene punteros al tipo de certificado TLS que es (por ejemplo, información verificada cuando se emitió el certificado).
• SCT incrustados: enumera las Marcas de tiempo de certificado firmadas (SCTs).

Certificados problemáticos

Cuando visitas un sitio web cuya dirección comienza con https y se detecta un problema con el certificado TLS, el navegador mostrará una página de error. El artículo ¿Qué significa ''Su conexión no es segura''? describe los errores de certificado más comunes.

Para ver el certificado problemático, sigue estos pasos:

1. En la página de advertencia, haz clic en Avanzado….

   

2. Haz clic en Ver certificado.

   

Ahora se mostrará el certificado defectuoso.