Certificado de clave pública: definición, componentes y usos
Documento electrónico que vincula una identidad con una clave pública; emitido por una autoridad de certificación. Explica componentes, estándares (X.509), usos, ciclo de vida y prácticas de seguridad.
Un certificado de clave pública es un documento electrónico que vincula una identidad (persona, organización o dispositivo) con una clave pública. Su función principal es permitir que terceros confíen en que una clave pública pertenece realmente al sujeto indicado y no a un impostor. El certificado es emitido y firmado por una autoridad certificadora o CA, que actúa como entidad de confianza para validar la información. En la práctica, los certificados permiten cifrar comunicaciones, verificar firmas digitales y autenticar servicios en Internet.
Galería de imágenes
2 ImágenesComponentes principales
- Sujeto: el nombre del titular (persona u organización) y, en muchos casos, identificadores alternativos como hosts o direcciones de correo.
- Emisor: la autoridad que expide el certificado y que lo firma digitalmente.
- Número de serie y fechas de validez (inicio y expiración).
- Clave pública del titular y el algoritmo asociado (p. ej., RSA, ECC).
- Algoritmo de firma y la firma digital de la CA que garantiza la integridad del certificado.
- Extensiones: campos opcionales como keyUsage, extendedKeyUsage o Subject Alternative Name (SAN) que delimitan usos permitidos.
- Para más información sobre quién puede expedirlo consulte a la autoridad de certificación.
Muchos certificados siguen el estándar X.509, que define la estructura y los campos habituales. Los archivos de certificados se almacenan en formatos como DER o PEM y, cuando combinan clave privada y certificado, pueden empaquetarse en contenedores tipo PKCS#12 (.p12/.pfx).
Usos habituales y ejemplos
Los certificados de clave pública se emplean en múltiples escenarios: asegurar conexiones web (TLS/SSL) entre navegadores y servidores; cifrar y firmar correos electrónicos (S/MIME); firmar código y aplicaciones; autenticar usuarios o dispositivos en redes privadas virtuales y servicios empresariales; y firmar documentos electrónicos para otorgar integridad y no repudio. En todos estos casos el receptor usa la clave pública del certificado para verificar firmas o cifrar datos destinados al titular.
Algunas implementaciones requieren distintos niveles de comprobación de identidad. Existen clasificaciones prácticas (a veces llamadas clases o niveles de validación) que van desde la validación automática de control de dominio hasta la verificación presencial de identidad. En el ámbito TLS se suelen distinguir categorías comerciales como: certificados de validación de dominio (DV), de organización (OV) y de validación extendida (EV), que difieren en el grado de verificación realizado antes de emitir el certificado.
Ciclo de vida, revocación y confianza
El ciclo de vida incluye la generación de la pareja de claves (privada y pública), la solicitud y emisión del certificado, su uso durante el periodo de validez y finalmente la renovación o revocación. Si una clave privada se ve comprometida o la información del certificado deja de ser válida, la CA puede revocar ese certificado. Los mecanismos para comprobar revocación incluyen listas de revocación (CRL) y el protocolo OCSP; consulte las listas de revocación para métodos de verificación.
Además, la confianza se construye mediante cadenas de certificados: un certificado de entidad final está firmado por una CA intermedia, ésta por otra y finalmente por una CA raíz cuya clave pública está almacenada en repositorios de confianza (por ejemplo, almacenes de certificados de navegadores o sistemas operativos).
Consideraciones de seguridad y buenas prácticas
- Proteger la clave privada: no debe compartirse y conviene usar almacenamiento seguro (HSM, tokens, smart cards).
- Usar algoritmos y tamaños de clave recomendados por la comunidad criptográfica y renovar antes de la expiración.
- Verificar revocación y vigilar la caducidad para evitar interrupciones del servicio.
- Confiar en autoridades reconocidas y, cuando sea posible, aprovechar procesos automatizados y registros públicos (por ejemplo, logs de transparencia) para auditar emisiones; vea también documentación sobre el titular.
Los certificados de clave pública son un pilar de la seguridad digital moderna: proporcionan un medio práctico para establecer confianza en comunicaciones y transacciones electrónicas, siempre que se gestionen con políticas y controles adecuados.
Preguntas y respuestas
P: ¿Qué son los certificados digitales?
R: Los certificados digitales son "tarjetas de crédito" electrónicas que establecen sus credenciales cuando realiza un negocio u otras transacciones en la Web.
P: ¿Quién emite los certificados digitales?
R: Los certificados digitales son emitidos por una autoridad de certificación (AC).
P: ¿Qué información incluye un certificado digital?
R: Un certificado digital contiene el nombre del titular del certificado, un número de serie, las fechas de caducidad, una copia de la clave pública del titular del certificado (utilizada para cifrar mensajes y firmas digitales) y la firma digital de la autoridad emisora del certificado para que un destinatario pueda verificar que el certificado es real.
P: ¿Qué es X.509?
R: X.509 es una norma para certificados digitales.
P: ¿Cuáles son las clases de certificados digitales?
R: Las clases de certificados digitales son Clase 1, Clase 2 y Clase 3.
P: ¿Qué es un certificado digital de clase 1?
R: La clase 1 define los certificados que no tienen ninguna validez legal, ya que el proceso de validación se basa únicamente en un ID de correo electrónico válido y no implica ninguna verificación directa.
P: ¿Qué es el certificado digital de clase 3?
R: La clase 3 requiere que la persona se presente ante la autoridad de registro y demuestre su identidad.
Artículos relacionados
Autor
AlegsaOnline.com Certificado de clave pública: definición, componentes y usos Leandro Alegsa
URL: https://es.alegsaonline.com/art/27374