Estructura de certificado: contiene identidad del titular (CN=nombre), clave pública, validez (notBefore/notAfter), firma de CA, y cadena de confianza hasta raíz de confianza.
Qué es un certificado digital
Un certificado digital es un documento criptográfico que verifica la identidad de una persona, dispositivo o servidor y autoriza acciones. Contiene clave pública del titular, identidad verificada por Autoridad Certificadora (CA), período de validez, y firma digital de la CA. Certificados se usan para: establecer conexiones HTTPS seguras (SSL/TLS), autenticar usuarios mediante certificado cliente, firmar digitalmente documentos, y autenticar sin contraseña (WebAuthn). La infraestructura PKI (Public Key Infrastructure) gestiona ciclo de vida: generación, distribución, validación, revocación, y renovación de certificados.
Por qué importa
Certificados digitales son fundamento de confianza en internet: sin ellos, cualquiera podría impersonar un sitio web (phishing técnico). HTTPS protege confidencialidad y autenticidad usando certificados; 95% de tráfico web es HTTPS. Para CISOs, certificados son críticos: 1) Autenticación fuerte sin contraseña usando certificados cliente (smart cards, hardware keys); 2) Firma digital de documentos críticos para no repudiación regulatoria; 3) mTLS (mutual TLS) para microsservicios y APIs; 4) Acceso a infraestructura sin contraseña (Kubernetes, microservicios). Gestión de certificados es tarea operacional compleja: seguimiento de expiración, renovación antes del vencimiento, revocación de comprometidos. Expiración imprevista de certificados causa outages: bancos, servicios financieros, y operadores críticos han sufrido interrupciones masivas por certificados expirados. NIS2 y DORA requieren gestión de certificados en infraestructura crítica.
Puntos clave
Tipos comunes: SSL/TLS (servidores web), cliente (autenticación de personas/dispositivos), código (firma de software), email (firma/cifrado). Cada tipo tiene restricciones de uso.
Validación de certificado: navegador/cliente verifica firma de CA, comprueba período de validez, y valida que dominio del certificado coincide con sitio visitado (protege contra phishing).
Revocación: certificados comprometidos deben revocarse inmediatamente. Mecanismos: CRL (Certificate Revocation List), OCSP (Online Certificate Status Protocol). Verificación de revocación protege contra certificados robados.
Ejemplo: Expiración de certificado causa outage crítico
Un banco olvida renovar certificado SSL de su plataforma de trading 10 días antes de expiración. Certificado vence a medianoche. Clientes no pueden acceder a plataforma: navegadores rechazan conexión (certificado vencido = inseguro). Outage de 4 horas, pérdida de operaciones estimada en 500K EUR. Post-análisis: no había alertas de expiración (sistema de monitoreo estaba deshabilitado), no hay proceso de renovación automática, y cambio de equipo dejó responsable sin asignación clara. Solución: implementar ACME (Automated Certificate Management Environment) con Let's Encrypt para renovación automática 30 días antes de vencimiento, alertas en Slack/email a 60/30/7 días, y auditoría trimestral de todos certificados en producción.
Errores habituales
- Asumir que certificado 'vigente' seguirá siendo válido; si no se renueva 30 días antes de vencimiento, habrá outage. Automatización de renovación es crítica.
- No validar chain of trust de certificado; certificado fraudulento que no verifica contra CA raíz de confianza debe ser rechazado inmediatamente.
- Usar certificados auto-firmados en producción; aunque funcionan técnicamente, navegadores/clientes generan advertencia que reduce confianza de usuario.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué diferencia hay entre certificado SSL y TLS?
SSL (Secure Socket Layer) es protocolo antiguo (versiones 1.0-3.0, todas deprecadas). TLS (Transport Layer Security) es sucesor moderno (TLS 1.2, 1.3 actuales). Ambos usan certificados similares, pero TLS es más seguro con cifrado mejorado. En práctica, 'certificado SSL' y 'certificado TLS' se usan intercambiablemente; importante es verificar que servidor usa TLS 1.2+, no SSL antiguo.
¿Puedo usar mismo certificado en múltiples servidores?
Depende del tipo: certificado wildcard (*.example.com) protege todos subdominios. Certificado multi-dominio protege múltiples dominios específicos. Certificado estándar protege un dominio. Operativamente, compartir certificados entre servidores complica revocación: si un servidor es comprometido, debe revocarse certificado en todos. Mejor práctica: certificado único por servidor, renovación automática individual.
¿Cómo se valida certificado cliente para autenticación?
Usuario instala certificado en navegador/cliente (smart card, hardware key, o software store). Al conectar a servidor, envía certificado. Servidor valida: 1) firma de CA confiable, 2) periodo de validez, 3) lista de revocación (certificado no está revocado), 4) autenticidad (certificado corresponde a usuario conocido). Si validación pasa, acceso otorgado sin necesidad de contraseña.