Mi banco propone certificado. Dicen que solo podré usarlo en una computadora. No entiendo: ¿no puedo usar el mismo certificado en varias máquinas al exportarlo y reimportarlo?
Mi banco propone certificado. Dicen que solo podré usarlo en una computadora. No entiendo: ¿no puedo usar el mismo certificado en varias máquinas al exportarlo y reimportarlo?
En términos generales, si puede exportar la clave privada e importarla a otra máquina, entonces sí, puede usarla en varias máquinas.
Esto supone que la clave es realmente exportable, y que el banco no está realizando ninguna otra verificación que vincule la clave a una computadora en particular.
Lo mejor será tener los certificados instalados en un token de hardware certificado en lugar de tenerlos en una implementación de token suave. Si las copias de certificados y pares de claves son posibles, desafía el principio básico de tener autenticación basada en certificados.
En cambio, si su banco le permite tener un certificado en un token de hardware, todo lo que necesita es tener el token insertado en la máquina de su elección y realizar la autenticación bancaria y las operaciones seguras como 2FA o la firma de transacciones.
Es importante mencionar que tener tokens de hardware proporciona un mayor nivel de seguridad, pero al mismo tiempo tiene implicaciones comerciales y reduce la facilidad para el usuario ya que el usuario podría tener que instalar controladores, PKCS # 11 dlls o CSP en los sistemas donde el token es necesario para ser utilizado.
Lo que dice su banco puede tener más que ver con el proceso de solicitud de certificado. He visto que este problema confunde a un número de personas cuando se trabaja con una CA institucional.
Cuando solicita un certificado dentro de su navegador (por ejemplo, utilizando <keygen/>
, CRMF o ActiveX CertEnroll / XEnroll), el navegador generará un par de claves durante el proceso y enviará la clave pública a la CA como parte del certificado solicitud (el formato exacto varía según el método utilizado).
Más tarde (por cuánto tiempo dependerá del proceso de verificación fuera de banda de la AC), la CA emitirá un certificado. Una vez importado en el navegador, este certificado se asociará de nuevo con su clave privada y estará visible en su lista de certificados (pestaña "Sus Certificados" en Firefox, por ejemplo).
El problema es que entre estos dos pasos (generación de claves e importación del certificado en el navegador), los navegadores tienden a no mostrar nada en su interfaz de usuario. Normalmente no hay una entrada o lista que diga "clave privada esperando el certificado", a pesar del hecho de que la clave privada está ahí, y el certificado solo puede asociarse de nuevo con su clave privada correspondiente, por lo que esto no funcionaría en un navegador diferente.
Esto puede sorprender a las personas que han aplicado con un solo navegador e intentan importar su nuevo certificado desde un navegador diferente una vez que reciban la respuesta de la AC en una fecha posterior.
Tal declaración de su banco también puede ser una forma de evitar cualquier explicación sobre cómo exportar certificados por completo. Esto puede confundir fácilmente a los usuarios no técnicos. También pueden temer que algunos usuarios también usen contraseñas débiles para proteger su archivo PKCS # 12 (asumiendo que es el formato utilizado para la exportación), lo que puede anular el punto de usar certificados.
Lea otras preguntas en las etiquetas certificates