en un mundo de riesgos sepa a quién confiar

							       en un mundo de riesgos, sepa a quién confiar




[ verdades de loscertificadosdigitales]
       :: in a world of risk, know who to trust ::

 Verdades acerca del certificado digital

 En la actualidad hay muchas autoridades certificadoras (CA, por sus siglas en inglés) que ofrecen
 certificados digitales, cada una de ellas con varios productos de certificados. Para alguien que utiliza por
 primera vez un certificado digital, no es sencillo realizar una decisión de compra bien informada.
 Igualmente, los usuarios calificados quizás no comprendan cabalmente ciertos puntos más sutiles
 relacionados con los productos disponibles en el mercado.

 Nuestro propósito es ofrecer consejos imparciales sobre cómo enfocar la adquisición de certificados SSL
 y a la vez aclarar ciertos temas relacionados con el producto y la industria que a menudo se malentienden.
 Esperamos que la información que suministramos les ayudara realizar las compras adecuadas para sus
 necesidades comerciales y de seguridad.

 1. ¿Cuándo necesita utilizar un certificado digital?

 Actualmente, asegurar la transmisión de la información financiera en un comercio electrónico es la
 principal aplicación de los certificados SSL. Sin embargo, con la incidencia creciente del robo de
 identidades, la protección de la información personal identificable se hace cada vez más importante.
 Esta categoría de datos incluiría los números de identidad y seguridad social, además de las direcciones
 de correo electrónico.
De modo que si realiza transacciones financieras a través de su sitio Web, no cabe duda de que
necesita un certificados SSL. Si maneja datos sensibles de sus clientes, vale la pena considerar
seriamente el uso de certificados SSL, especialmente si la seguridad y privacidad de sus clientes o
miembros ocupa uno de los primeros lugares en su lista de prioridades.

2. ¿Por qué usar un certificado digital?

Existen dos razones principales por las que uno debería usar un certificado digital:

   1] Para probar la identidad de su empresa (o de su servidor) en línea, y al hacerlo, crear un sentido
      de fiabilidad y confianza a quien usa su sitio Web.

   2] Para ofrecer protección de los datos enviados a su sitio Web (o entre servidores) mediante el
      uso de codificación. Si llegara a interceptarse cualquier información, será imposible descifrarla
      sin la clave distintiva que debe utilizarse para la decodificación.

Al evaluar un producto certificador, asegúrese de que cumpla con cada uno de estos requisitos.

3. ¿Qué nivel de autenticación ofrece el certificado?

Al asegurar su sitio Web con un certificado digital, su propósito principal es poder probar su identidad
en línea y, de este modo, establecer una relación de fiabilidad con quienes desee interactuar en línea.
Aquí es donde la autenticación entra en juego como el elemento más importante de un certificado
digital.

La autenticación ofrece a los usuarios la prueba de que:

            1] su empresa es actúa de buena fe en el mundo real.
            2] se están conectando con el servidor correcto.

El nivel de autenticación de un certificado puede ser visto como una indicación de la calidad: cuanto
mas sea el nivel de autenticación provisto, más será la calidad del certificado. Por lo tanto, es importante
comprender que cada uno de los certificados digitales disponibles difiere en el nivel de autenticación
según la CA emisora o inclusive el producto específico.

Algunas CA sólo realizan una autenticación muy básica antes de emitir un certificado, mientras que
otras realizan extensas verificaciones para asegurar la identidad de la organización solicitante. A
continuación, se enumeran las diversas verificaciones de autenticación que realizan las CA:

            • Búsqueda del dominio para confirmar que la empresa solicitante es la propietaria del
              mismo.
            • Comprobación de la existencia de la empresa para confirmar que se trata de una
              organización legalmente registrada.
            • Verificación de la identidad de la persona que solicita el certificado para confirmar que se
              trata de un representante autorizado.

Todas las CA realizan una o más de estas verificaciones de autenticación. El resultado es un rango
de productos con niveles de calidad muy diferentes. Es importante observar que cuanto mas es la
cantidad de verificaciones de autenticación que se realizan, mejor es la calidad del certificado. Por
tanto, asegúrese de determinar exactamente qué verificaciones de autenticación se realizan antes de
comprar el certificado.

4. ¿Qué significa cumplir con los requisitos de fiabilidad de la Web?
Varias CA han alcanzado la categoría de cumplimiento con los requisitos de fiabilidad de la Web
particularmente porque ahora Microsoft requiere que la CA se someta a la auditoria de fiabilidad de
la Web de las autoridades certificadoras para que su raíz certificador puedan incluirse en Windows
XP / Internet Explorer. Pero es importante tener claro qué implica exactamente esta certificación. La
fiabilidad de la Web (Web Trust) no fija estándares para las CA, ni tampoco controla o regula los
estándares existentes.
El cumplimiento con los requisitos de fiabilidad de la Web no dice nada acerca de la calidad de la
autenticación ofrecida: solamente confirma que la CA en cuestión se ajusta a sus propias políticas y
procedimientos de autenticación. Esto significa que, lamentablemente, el cumplimiento con los requisitos
de fiabilidad de la Web no suministra una base útil para comparar diferentes CA.
5. ¿Cuál es la fortaleza de un certificado? (¿Qué es la tecnología SGC?)

La fortaleza de la codificación de un certificado digital viene determinada por el nivel de codificación
que admite el explorador usado para conectarse con un sitio Web y el servidor donde reside el sitio.
Esto significa que los usuarios pueden conectarse a 40, 56 ó 128 bits, según sea la versión del
explorador que estén utilizando.

La mayoría de los certificados digitales funcionan de este modo: ofrecen codificación de acuerdo con
el nivel admitido por el explorador y el servidor. Es importante comprender esta diferenciación, ya que
muchas CA promocionan sus certificados como de 128 bits cuando en realidad serán compatibles con
sesiones de diferentes niveles de codificación (siendo el de 128 bits el nivel de codificación más alto
posible).

En el pasado, las leyes Estadounidenses no permitían la exportación de tecnología de codificación de
128 bits. El resultado fue la creación de versiones de exploradores "para exportación" con capacidades
de codificación restringidas a 40 y 56 bits. Estos exploradores se distribuyeron fuera de Estados Unidos
durante muchos años, y hasta fueron descargados por usuarios desde Estados Unidos. En 1997 el
gobierno norteamericano revocó la prohibición que pesaba sobre la codificación de 128 bits. Sin
embargo, hoy en día sigue habiendo una cantidad significativa de aquellos exploradores de exportación
en uso, principalmente en el mercado fuera y también dentro de Estados Unidos.

Se han desarrollado certificados digitales que proveen codificación de 128 bits para exploradores que
están predeterminados para una codificación de 40 ó 56 bits, las denominadas versiones "para
exportación" del explorador que incluyen Internet Explorer E 5.01 y Netscape 4.7x y posteriores. Estos
certificados incluyen tecnología conocida como Server Gated Cryptography (Codificación controlada
por el servidor; SGC por sus siglas en inglés) que automáticamente levanta el nivel de estos exploradores
a la codificación de 128 bits. Sólo unas pocas CA suministran estos certificados, de modo que si
necesita contar con la capacidad para elevar el nivel de codificación a 128 bits, asegúrese de solicitar
la tecnología SGC.

6. ¿Cuál es el producto adecuado para usted?

Existen varios factores que influirán sobre su elección del certificado digital.

En primer lugar, debe considerar la sensibilidad de los datos que han de asegurarse. Tiene sentido
pensar que la información personal y financiera altamente confidencial, además de la información
comercial crítica, exigen los máximos niveles de autenticación y codificación. Por otra parte, puede
haber quienes consideren que hay otras aplicaciones que no requieren medidas de seguridad tan
estrictas. La base de todo es que necesita categorizar los diferentes tipos de datos que administra de
acuerdo con la importancia que tienen para su negocio y seleccionar un certificado digital que contemple
su actividad actual.

En algunos países ahora existe una legislación que gobierna el nivel de codificación para la protección
de los datos. Normalmente, este tipo de legislación se desarrolla para industrias que hacen un uso
intensivo de los datos, donde la seguridad y privacidad son la preocupación principal, como son los
servicios financieros o el cuidado de la salud. Por lo general, se pide a las empresas que garanticen
la protección de los datos mediante codificación de 128 bits, requerimiento que determina el uso de
un tipo específico de certificado digital. En este caso, deberá elegir los certificados digitales capaces
de elevar el nivel de codificación a 128 bits (SGC).

También es importante considerar el lugar geográfico donde se encuentra su cliente o base de usuarios.
El motivo de ello es que ciertas versiones de exploradores antiguos aún existentes en cantidades
significativas no admiten automáticamente la codificación de 128 bits, sino sólo las de 40 y 56 bits. En
general se conocen como exploradores "para exportación", disponibles fuera de Estados Unidos durante
muchos años. También vale la pena observar que usuarios dentro de Estados Unidos han descargado
estos exploradores de exportación desde sitios Web fuera de Estados Unidos. De modo que, si está
realizando negocios en línea fuera de Estados Unidos y la codificación de 128 bits es importante para
usted, es esencial contar con la tecnología SGC que le permita elevar el nivel de codificación.

Por último, también vale la pena considerar la duración del proyecto en cuestión. La mayoría de los
certificados están disponibles en versiones de uno o dos años (como mínimo). Si su proyecto está
planificado para un período más extenso, tiene sentido considerar la opción de dos años ya que ello
no sólo significará un ahorro en el costo, que frecuentemente se ofrece para estos productos, sino que
además añade el beneficio de ser más conveniente al reducir la frecuencia de trabajo técnico y
administrativo asociado con la instalación durante la renovación del certificado.
7. ¿Puede obtener la asistencia posventa que necesita?

Dependiendo de su nivel de experiencia en trabajar con certificados digitales, tal vez
necesite ayuda en diversas etapas a lo largo del ciclo de vida del producto, desde la solicitud
inicial hasta la instalación, renovación y posible reemisión del certificado, si se requiere.

Asegúrese de evaluar la capacidad de asistencia de las CA en consideración. Trate de mirar
más allá del proceso de venta inicial, ya que en las circunstancias más imprevistas, como
por ejemplo al migrar de servidor, es donde un servicio de asistencia competente constituye
siempre el mejor valor añadido.

8. ¿Qué antecedentes tiene la CA?

IEn el mundo de los negocios siempre es sensato comprar a proveedores probados y establecidos, y
con más razón en la industria de alta tecnología en nuestros días. Esto es especialmente importante
cuando se compran productos de seguridad como certificados digitales, para los cuales la utilización
de una CA fiable es esencial para realizar negocios en línea eficaces.

Los antecedentes de la CA pueden suministrarle las respuestas a otras preguntas aquí enunciadas.
Por ejemplo, cuanto más tiempo lleve una CA en el negocio, más probabilidades tendrá de contar con
una infraestructura de asistencia calificada y mejor desarrollada.

9. ¿Está tratando con una CA raíz?

Hay dos tipos de CA: CA raíz (root CA) y CA encadenada (chained CA). Las CA raíz tienen las raíces
de sus certificados instaladas en los principales exploradores, mientras que las CA encadenadas emiten
sus certificados a partir de la raíz de una CA raíz.

La razón de la existencia de CA encadenadas se relaciona con el tema de la compatibilidad de los
certificados con los diversos tipos y versiones de exploradores en uso actualmente. Las CA que han
existido durante un período más extenso han podido incluir sus raíces en cada tipo y versión de
explorador que se ha ido lanzando durante los últimos años. Por consiguiente, su compatibilidad de
certificado-explorador es sumamente elevada. Las CA más recientes no están en condiciones de
alcanzar este nivel de compatibilidad ya que sólo pueden incluir sus raíces en las últimas versiones
de los exploradores y el único modo que tienen para alcanzar el nivel deseado de compatibilidad es
mediante la emisión de certificados firmados con la raíz de una CA que ya cuenta con el nivel de
compatibilidad deseado (lo que se conoce como "encadenamiento”).

La principal desventaja de utilizar una CA encadenada es que no son dueñas y, por ende, no pueden
controlar la raíz utilizada para emitir sus certificados. Desde la perspectiva de quien adquiere un
certificado, esta situación puede derivar en problemas potenciales ya que dichos certificados son
vulnerables y pueden considerarse no válidos si se quiebran los términos del contrato de encadenamiento
o los mismos resultan afectados por un cambio en la propiedad de la raíz.

10. Contacté a thawte

Para preguntas relacionadas con cualquier producto de thawte, por favor contáctenos usando la
infamación listada abajo:"

E-mail:    sales@thawte.com

Telephone: +27 21 937 8902

Website:    www.thawte.com