6. La importancia de los certificados digitales

Para usar la criptografía de llave pública necesita generar una llave pública y una privada. Usualmente, se hace con el programa que usará la llave, por ejemplo, el explorador web o programa de correo electrónico. Una vez que se han generado las dos llaves, es responsabilidad suya mantener segura la llave privada y no permitir que alguien la vea. Posteriormente, tiene que decidir cómo distribuir la llave pública a sus receptores. Podría usar el correo electrónico para enviar la llave pública a todos sus receptores, pero podría resultar difícil de manejar en caso de que olvide a alguien en la lista de direcciones, o si surgen nuevos receptores. Esto tampoco permite autentificarse con algún grado de confianza; por ejemplo, alguien podría hacerse pasar por usted, generar un par de llaves y después enviar a los receptores la llave pública, diciendo que proviene de usted, para posteriormente tener la libertad de hacer mensajes usando el nombre de usted.  
 

Los certificados digitales verifican electrónicamente las llaves públicas.

Una manera más adecuada y confiable de distribuir llaves públicas es el uso de una autoridad de certificación. Una autoridad de certificación aceptará la llave pública de usted, junto con ciertas pruebas de su identidad (esto varía con la clase de certificado) y sirve como un depósito de certificados digitales. De esta manera, otros pueden solicitar entonces la verificación de su llave pública a la autoridad de certificación. El certificado digital actúa como una versión electrónica de la licencia de un conductor. Como método aceptado para distribuir la llave pública, proporciona un procedimiento para que los receptores puedan verificar que usted es quien dice ser.  
 

Las autoridades de certificación mantienen la responsabilidad de verificar la identidad de un usuario, emitiendo certificados digitales y verificando la validez de los certificados digitales.

Las autoridades de certificación, por ejemplo, Verisign, Cybertrust y Nortel, emiten certificados digitales. Como se muestra en la Figura 4-5, un certificado digital incluye el nombre del poseedor, el nombre de la autoridad de certificación, una llave pública para uso criptográfico, un límite de tiempo para usar el certificado (la mayoría de las veces, de seis meses a un año), la clase del certificado y el número de identificación del certificado digital.  
 

Los contenidos de un certificado digital.  
 
 
 

Los certificados digitales pueden ser de cuatro clases.

La emisión de un certificado digital puede ser de cuatro clases, indicando hasta qué grado se ha verificado al poseedor. La Clase 1 es la más fácil de obtener, ya que involucra el menor número de verificaciones de los antecedentes del usuario: sólo se verifican el nombre y dirección de correo electrónico. En el caso del certificado de Clase 2, la autoridad emisora verifica una licencia de conducir, un número de seguro social y una fecha de nacimiento. Los usuarios que solicitan un certificado de Clase 3 pueden esperar que la autoridad emisora ejecute una verificación de crédito (usando un servicio como Equifax), además de la información requerida para un certificado de Clase 2. Un certificado de Clase 4 incluye información acerca de la posición de la persona dentro de una organización, pero los requerimientos de verificación para estos certificados todavía no han sido formalizados.  
 

Entre más alta sea la clase, mayor el grado de verificación.

Los usuarios deben pagar una cuota para obtener un certificado digital por parte de las autoridades comerciales o gubernamentales de certificación; las cuotas se incrementan para las clases más altas, en parte, debido al esfuerzo requerido para verificar los antecedentes del usuario. A causa de las verificaciones de antecedentes que acompañan a las clases más altas, estos certificados de clase sirven como afirmaciones más concretas de la identidad del usuario.  
 

Los certificados tienen expiraciones incorporadas, y las autoridades actualizan las listas de revocación.

Las autoridades de certificación también tienen la responsabilidad de mantener y ofrecer una "Lista de revocación de certificado", o CRL, que permite a los usuarios saber qué certificados ya no son válidos. La CRL no incluye los certificados expirados, ya que cada certificado tiene una expiración incorporada. Sin embargo, los certificados se pueden revocar por haberse perdido, por haber sido robados o porque un empleado ha dejado la compañía, por ejemplo.  
 

Una corporación puede convertirse en una autoridad de certificación y después emitir certificados a sus empleados o a otras compañías.

Además de las autoridades de certificación comerciales (como Verisign, Cybertrust y Nortel) y las autoridades gubernamentales (como el Servicio Postal de los EE.UU.), las corporaciones también pueden convertirse en autoridades de certificación al comprar un servidor de certificación a un vendedor certificado, a su vez, por una autoridad de certificación. Dichas certificaciones son útiles cuando una compañía necesita emitir certificados digitales para un número de empleados que hacen negocios, ya sea dentro de la compañía o con otras compañías. Conforme más sistemas usen los certificados digitales para controlar el acceso a las computadoras, los servidores de certificado mantenidos en las corporaciones se volverán más importantes. Mientras tanto, el gobierno de los EE.UU. intenta establecer la "Infraestructura de llave pública" para certificar autoridades.