Home
¿Qué es la transparencia del certificado? – Certificados SSL –

¿Qué es la transparencia del certificado? – Certificados SSL –

No Comments Conocimiento

Es posible que algunos de nosotros ya hayamos oído la nueva combinación de palabras que se ha extendido por la sociedad de Internet: Certificado de Transparencia. Este proceso y, lo que es más importante, la novedad del propio concepto han sido anunciados recientemente por Entonces, ¿qué es realmente la transparencia de los certificados? Dejanos darle un vistazo.

Como fue definido y planeado originalmente por y otros a mediados de la década de 1990, el proceso de emisión de certificados implica que una (CA) debe generar y presentar el certificado al solicitante del certificado (propietario del dominio, administrador del servidor) para su revisión y aprobación, antes de la emisión del SSL real. emisión. Una vez emitido, la Autoridad de Certificación publica el certificado en un repositorio independiente que demostrará que el solicitante ha tenido conocimiento de la emisión del certificado. Ese repositorio independiente permite la verificación de la clave pública (que es una parte esencial del certificado SSL) y su validez antes de establecer y negociar una sesión segura con el servidor. En cierto modo, una clave pública se puede validar alternativamente además de obtenerla del servidor únicamente durante la negociación de la sesión. El proyecto Certificate Transparency plantea una nueva forma de hacer que el proceso de emisión de certificados esté disponible públicamente, sea abierto y, por tautológico que parezca, transparente.

¿Cómo se logra la transparencia del certificado?

La transparencia de los certificados (más CT) se logra haciendo que las autoridades de certificación publiquen certificados en registros de CT calificados de acceso público. Hay cuatro participantes principales en el CT:

  • CA
  • Servidores de registro como repositorios públicos de certificados
  • Auditores: navegador de cualquier cliente que acepte el certificado.
  • Monitores: servidores administrados públicamente cuyo objetivo es monitorear los certificados recién agregados para registrar servidores para detectar certificados emitidos incorrectamente para ciertos sitios web.

En primer lugar, una autoridad certificadora crea el llamado precertificado que contiene información principal que se reflejará en el certificado futuro y lo envía al servidor de registro confiable.

A su vez, el servidor de registro acepta esta información y responde con una “marca de tiempo del certificado firmado (SCT)” que es, por naturaleza, una “promesa” de agregar el certificado al registro dentro de un período de tiempo determinado. Este período de tiempo, conocido como retardo máximo de fusión (MMD), establece el período razonable en el que se agrega el certificado al servidor de registro. Cabría preguntarse si el valor de MMD realmente puede retrasar o posponer la emisión del certificado. MMD no tiene influencia en la emisión de SSL ni en el uso de los certificados. El período de tiempo más largo de MMD es de 24 horas, lo que significa que todos los certificados recién emitidos estarán disponibles en el registro como máximo dentro de las 24 horas una vez que se genera SCT.

See also  Cómo solucionar el error al establecer una conexión a la base de datos en WordPress - Alojamiento -

La SCT va 'de la mano' de la misma durante todo su ciclo de vida, hasta su vencimiento o revocación.

SCT es aceptado por la Autoridad de Certificación y se integra en el cuerpo del certificado o se presenta mediante . La presencia y disponibilidad de la SCT en sí misma sirve como señal de que el certificado ha sido publicado para su revisión. Hay tres métodos generales para que CT entregue SCT con los certificados: extensión x509v3 (que en realidad no requiere acciones adicionales por parte del operador del servidor), extensión TLS (que debe ser utilizada por el operador del sitio con el tipo firmado_certificado_timestamp para la entrega de SCT al cliente durante) y grapado OCSP.

Se pueden ver más detalles sobre estos métodos, pero la idea principal es que la marca de tiempo del certificado firmado se presente junto con el certificado durante la negociación de la sesión.

Pros y… ¡Pros!

La principal y primera ventaja que nos viene a la mente es la confianza. Tener los datos de la empresa publicados y abiertos para su visualización crea una imagen mucho mejor al hacer negocios en línea. Este punto es beneficioso no sólo para las CA, los propietarios de dominios y los operadores de servidores, sino también para un gran número de usuarios finales. Actualmente, Google está ejecutando un registro de transparencia de certificados que se completa con los certificados recuperados de la web y se realiza un trabajo activo en el software de monitoreo y auditoría que se puede revisar. Actualmente se está desarrollando una nueva versión de Google Chrome. En algún momento, se actualizará para mostrar un mensaje de advertencia antes de establecer una conexión a un sitio web sin un SCT verificado. Después de que aumente la adopción de la transparencia de los certificados por parte de las autoridades certificadoras y los navegadores, se planea modificar Chrome nuevamente, de modo que no se realice ninguna conexión a un sitio web sin un SCT válido junto con el certificado (pero un usuario de Chrome puede cambiar esta configuración). .

See also  Por qué su sitio web necesita una copia de seguridad automática - Blog de

Otra ventaja tiene que ver con el modelo de negocio de las autoridades certificadoras: los certificados SSL se emiten tal como estaban, excepto por un paso adicional: primero, el certificado se envía a varios servidores de registro para recibir e incluir una marca de tiempo en el SSL. Los propietarios de dominios o administradores de servidores no necesitarán adaptarse al nuevo procedimiento de rendimiento SSL. El protocolo de enlace TLS permanece sin cambios, pero el propietario del dominio/servidor puede monitorear los certificados y asegurarse de que no se emitan certificados no solicitados o no aprobados para su dominio o servidor.

¡Estoy a favor de la transparencia! Pero, ¿cómo afecta esto a mi certificado EV con Inc.?

Todos los certificados de Validación Extendida (EV) con una fecha de vencimiento posterior a diciembre de 2015 deben respaldar la transparencia del certificado. Esto también afecta a los certificados de vehículos eléctricos ya emitidos. Está previsto que a partir del 1 de febrero de 2015 deje de mostrarse la barra verde en Google Chrome, si no se proporciona un SCT válido y verificado junto con un certificado EV durante la negociación de sesión segura. El plazo exacto no se ha anunciado hasta el momento y depende del calendario de lanzamiento de Google Chrome.

La Autoridad de Certificación de Comodo (ahora), nuestro proveedor de SSL, admite la Transparencia de Certificados a partir de mediados de diciembre de 2014. Todos los certificados EV actuales y futuros, comprados y activados a través de , admitirán la Transparencia de Certificados y los registros públicos estarán incluidos en la lista blanca. Según un anuncio reciente de Google, todos los certificados SSL, incluidos DV y OV, deberán cumplir con CT a partir de octubre de 2017.


La transparencia de los certificados es una modificación básica de la forma en que se emiten los certificados EV. Este proceso no tiene ningún impacto en el pedido y activación de SSL a través de la interfaz de y no es necesario que usted realice ninguna acción, incluso si su certificado EV se emitió mucho antes de esta novedad. Las autoridades certificadoras han agregado sus certificados EV a la lista blanca de transparencia de certificados de Google.

See also  ¿Dónde puedo iniciar sesión en mi cuenta de alojamiento cPanel? - Alojamiento -

Nota: Desde el 23 de marzo de 2018, todos los certificados SSL emitidos por Comodo CA (ahora Sectigo CA) cumplen con la Política CT de Chromium. Por lo tanto, no se requieren acciones adicionales por parte del usuario final del certificado SSL de Comodo (ahora Sectigo) para incluir los certificados emitidos en dicha fecha o después en cualquier CT Log conocido que deba cumplir.

¿Cómo puedo comprobar si se admite la transparencia del certificado?

  1. Abra su navegador Chrome y haga clic en los puntos suspensivos/tres puntos en la esquina superior derecha.
  2. Seleccionar Más herramientas > Herramientas de desarrollo > Seguridad:
  3. Conéctese al sitio web que desea consultar o vuelva a cargar la página si ya está abierta.
  4. Haga clic en el enlace debajo de “Origen principal” y desplácese hacia abajo hasta “Transparencia del certificado” sección:
  5. Golpear “Mostrar todos los detalles“:

Ahora verá todos los registros de SCT disponibles para el sitio web abierto.

Nota: El lista SCT La sección se muestra en Windows 10 y superior. En sistemas operativos más antiguos, la sección se denomina 1.3.6.1.4.1.11129.2.4.2.

Además, aquí hay algunas herramientas útiles en línea para verificar la SCT:

Como conclusión…

En un futuro próximo, todas las autoridades certificadoras deberán cumplir con CT publicando automáticamente los certificados emitidos. Esto se debe, en parte, al fuerte posicionamiento de Google con su navegador Chrome: las versiones futuras del navegador Chrome pueden incluso mostrar indicadores de advertencia para sitios con certificados que no están presentes en CT Log Servers. Hasta ahora, cualquier certificado EV se verifica cuidadosamente para detectar la presencia de CT en los registros CT públicos.

Por supuesto, este artículo le brinda una idea muy general de lo que está sucediendo y qué es la Transparencia de Certificados. Quedan muchas más preguntas por hacer y algunas de ellas ya fueron respondidas. Como siempre, estamos con usted las 24 horas del día, los 7 días de la semana, para discutir, aclarar y negociar lo que es mejor para usted.

Related posts:

  1. FastVPN – Servicio VPN privado y seguro – Descarga fácil
  2. Configuración general de correo electrónico privado para clientes de correo y dispositivos móviles – Servicio de correo electrónico –
  3. /wordpress/pricing/
  4. Cómo configurar registros DNS para su dominio en una cuenta de Cloudflare – Alojamiento –

Related Posts

Loading Facebook Comments ...
Loading Disqus Comments ...