Certificados

En la última sección, mencionamos los certificados de cliente

como forma de autenticación. Como aprendimos anteriormente, los certificados
son claves públicas que están firmadas por una autoridad de certificación, o CA,
como signo de confianza. Ya vimos los certificados de servidor TLS,
pero también puede haber certificados de cliente. Estos funcionan de manera muy
similar
a los certificados de servidor, pero son presentados por los clientes
y permiten a los servidores autenticar y verificar clientes. Como especialista en
soporte de TI,
es importante que comprendas los certificados de cliente
y la autenticación basada en certificados, ya que puedes encontrarte con ellos
en el curso de tu carrera profesional. No es raro que los sistemas VPN o las
configuraciones Wi-Fi empresariales
usen certificados de autentificación de cliente. Entender cómo funcionan
te ayudará a solucionar problemas. Para emitir certificados de cliente,
una organización debe establecer y mantener una infraestructura de CA
para emitir y firmar certificados. Parte de la autenticación de certificados
también implica que el cliente autentique el servidor,
lo que nos brinda autenticación mutua. Esto es positivo, ya que el cliente
puede verificar que se está comunicando con el servidor de autenticación
y no con un imitador. En este caso, todos los clientes que están usando
autenticación por certificados también deberían tener el certificado de la CA
en su tienda de certificados de confianza. Esto establece la confianza con la CA
y permite al cliente verificar que está comunicándose
con el servidor verdadero cuando intentar autenticarse. La autenticación del
certificado
es como presentar una identificación en el aeropuerto. Muestras tu identificación
o tu certificado para demostrar quién eres. La identificación se verifica
para ver si fue emitida por una autoridad de confianza para el verificador. ¿Fue
emitida por una entidad gubernamental
o es una licencia de imitación de una tienda de regalos? Obviamente, una de esas
identificaciones
sería aceptada en el aeropuerto, al igual que un certificado
firmado por una CA de confianza. Cuando estás en el aeropuerto, también se debe
verificar la fecha de expiración
en tu identificación para asegurar que sigue siendo válida. Lo mismo se aplica
a un certificado de autenticación, aunque los certificados
tienen dos fechas que se deben verificar: "No válido antes de" y "No válido después
de". "No válido antes de" se verifica para ver
si el certificado es válido aún, ya que es posible que se emitan certificados
para uso futuro. "No válido después de"
es una fecha de caducidad directa, después de la cual
el certificado ya no es válido. Las autoridades aeroportuarias también tienen una
lista
de identificaciones específicas que están marcadas. Si tu identificación está en
esa lista,
entonces no te permitirán viajar en avión. De manera similar, se verificará el
certificado
comparándolo con una lista de revocaciones, o CRL. Esta es una lista firmada,
publicada por la CA, que define certificados
que han sido revocados explícitamente. Un último paso que se realiza como parte del
proceso
de verificación del servidor de autenticación es demostrar la posesión
de la clave privada correspondiente, ya que el certificado
es una clave pública firmada. Si no demostramos la posesión,
no hay nada que impida que un atacante copie el certificado, ya que no se lo
considera secreto,
y pretenda ser su propietario. Para evitar esto, se verifica la posesión de la
clave privada
a través de un mecanismo de desafío y respuesta. Aquí es donde el servidor solicita
un bit aleatorizado de datos que se firmará por medio de la clave privada que
corresponde
a la clave pública presentada para la autenticación. Esto es similar al modo en que
el aeropuerto
comprueba la foto en tu identificación para asegurarse de que te pareces a la
persona en la foto
y no te estás haciendo pasar por ella.