En la última sección, mencionamos los certificados de cliente
como forma de autenticación. Como aprendimos anteriormente, los certificados son claves públicas que están firmadas por una autoridad de certificación, o CA, como signo de confianza. Ya vimos los certificados de servidor TLS, pero también puede haber certificados de cliente. Estos funcionan de manera muy similar a los certificados de servidor, pero son presentados por los clientes y permiten a los servidores autenticar y verificar clientes. Como especialista en soporte de TI, es importante que comprendas los certificados de cliente y la autenticación basada en certificados, ya que puedes encontrarte con ellos en el curso de tu carrera profesional. No es raro que los sistemas VPN o las configuraciones Wi-Fi empresariales usen certificados de autentificación de cliente. Entender cómo funcionan te ayudará a solucionar problemas. Para emitir certificados de cliente, una organización debe establecer y mantener una infraestructura de CA para emitir y firmar certificados. Parte de la autenticación de certificados también implica que el cliente autentique el servidor, lo que nos brinda autenticación mutua. Esto es positivo, ya que el cliente puede verificar que se está comunicando con el servidor de autenticación y no con un imitador. En este caso, todos los clientes que están usando autenticación por certificados también deberían tener el certificado de la CA en su tienda de certificados de confianza. Esto establece la confianza con la CA y permite al cliente verificar que está comunicándose con el servidor verdadero cuando intentar autenticarse. La autenticación del certificado es como presentar una identificación en el aeropuerto. Muestras tu identificación o tu certificado para demostrar quién eres. La identificación se verifica para ver si fue emitida por una autoridad de confianza para el verificador. ¿Fue emitida por una entidad gubernamental o es una licencia de imitación de una tienda de regalos? Obviamente, una de esas identificaciones sería aceptada en el aeropuerto, al igual que un certificado firmado por una CA de confianza. Cuando estás en el aeropuerto, también se debe verificar la fecha de expiración en tu identificación para asegurar que sigue siendo válida. Lo mismo se aplica a un certificado de autenticación, aunque los certificados tienen dos fechas que se deben verificar: "No válido antes de" y "No válido después de". "No válido antes de" se verifica para ver si el certificado es válido aún, ya que es posible que se emitan certificados para uso futuro. "No válido después de" es una fecha de caducidad directa, después de la cual el certificado ya no es válido. Las autoridades aeroportuarias también tienen una lista de identificaciones específicas que están marcadas. Si tu identificación está en esa lista, entonces no te permitirán viajar en avión. De manera similar, se verificará el certificado comparándolo con una lista de revocaciones, o CRL. Esta es una lista firmada, publicada por la CA, que define certificados que han sido revocados explícitamente. Un último paso que se realiza como parte del proceso de verificación del servidor de autenticación es demostrar la posesión de la clave privada correspondiente, ya que el certificado es una clave pública firmada. Si no demostramos la posesión, no hay nada que impida que un atacante copie el certificado, ya que no se lo considera secreto, y pretenda ser su propietario. Para evitar esto, se verifica la posesión de la clave privada a través de un mecanismo de desafío y respuesta. Aquí es donde el servidor solicita un bit aleatorizado de datos que se firmará por medio de la clave privada que corresponde a la clave pública presentada para la autenticación. Esto es similar al modo en que el aeropuerto comprueba la foto en tu identificación para asegurarse de que te pareces a la persona en la foto y no te estás haciendo pasar por ella.