Un certificado de clave pública es un documento electrónico que vincula una identidad (persona, organización o dispositivo) con una clave pública. Su función principal es permitir que terceros confíen en que una clave pública pertenece realmente al sujeto indicado y no a un impostor. El certificado es emitido y firmado por una autoridad certificadora o CA, que actúa como entidad de confianza para validar la información. En la práctica, los certificados permiten cifrar comunicaciones, verificar firmas digitales y autenticar servicios en Internet.

Componentes principales

  • Sujeto: el nombre del titular (persona u organización) y, en muchos casos, identificadores alternativos como hosts o direcciones de correo.
  • Emisor: la autoridad que expide el certificado y que lo firma digitalmente.
  • Número de serie y fechas de validez (inicio y expiración).
  • Clave pública del titular y el algoritmo asociado (p. ej., RSA, ECC).
  • Algoritmo de firma y la firma digital de la CA que garantiza la integridad del certificado.
  • Extensiones: campos opcionales como keyUsage, extendedKeyUsage o Subject Alternative Name (SAN) que delimitan usos permitidos.
  • Para más información sobre quién puede expedirlo consulte a la autoridad de certificación.

Muchos certificados siguen el estándar X.509, que define la estructura y los campos habituales. Los archivos de certificados se almacenan en formatos como DER o PEM y, cuando combinan clave privada y certificado, pueden empaquetarse en contenedores tipo PKCS#12 (.p12/.pfx).

Usos habituales y ejemplos

Los certificados de clave pública se emplean en múltiples escenarios: asegurar conexiones web (TLS/SSL) entre navegadores y servidores; cifrar y firmar correos electrónicos (S/MIME); firmar código y aplicaciones; autenticar usuarios o dispositivos en redes privadas virtuales y servicios empresariales; y firmar documentos electrónicos para otorgar integridad y no repudio. En todos estos casos el receptor usa la clave pública del certificado para verificar firmas o cifrar datos destinados al titular.

Algunas implementaciones requieren distintos niveles de comprobación de identidad. Existen clasificaciones prácticas (a veces llamadas clases o niveles de validación) que van desde la validación automática de control de dominio hasta la verificación presencial de identidad. En el ámbito TLS se suelen distinguir categorías comerciales como: certificados de validación de dominio (DV), de organización (OV) y de validación extendida (EV), que difieren en el grado de verificación realizado antes de emitir el certificado.

Ciclo de vida, revocación y confianza

El ciclo de vida incluye la generación de la pareja de claves (privada y pública), la solicitud y emisión del certificado, su uso durante el periodo de validez y finalmente la renovación o revocación. Si una clave privada se ve comprometida o la información del certificado deja de ser válida, la CA puede revocar ese certificado. Los mecanismos para comprobar revocación incluyen listas de revocación (CRL) y el protocolo OCSP; consulte las listas de revocación para métodos de verificación.

Además, la confianza se construye mediante cadenas de certificados: un certificado de entidad final está firmado por una CA intermedia, ésta por otra y finalmente por una CA raíz cuya clave pública está almacenada en repositorios de confianza (por ejemplo, almacenes de certificados de navegadores o sistemas operativos).

Consideraciones de seguridad y buenas prácticas

  • Proteger la clave privada: no debe compartirse y conviene usar almacenamiento seguro (HSM, tokens, smart cards).
  • Usar algoritmos y tamaños de clave recomendados por la comunidad criptográfica y renovar antes de la expiración.
  • Verificar revocación y vigilar la caducidad para evitar interrupciones del servicio.
  • Confiar en autoridades reconocidas y, cuando sea posible, aprovechar procesos automatizados y registros públicos (por ejemplo, logs de transparencia) para auditar emisiones; vea también documentación sobre el titular.

Los certificados de clave pública son un pilar de la seguridad digital moderna: proporcionan un medio práctico para establecer confianza en comunicaciones y transacciones electrónicas, siempre que se gestionen con políticas y controles adecuados.