He estado realizando algunos trabajos sobre certificados SSL y descubrí que hay algunos lugares que cobran por un certificado SSL, pero, ¿cómo obtienen los derechos para hacerlo? Y, ¿cómo, se les permite estar en una lista de sitios "confiables" que el navegador puede identificar como genuinos?
Las grandes compañías de navegadores (Google, Mozilla, Microsoft, Apple y Opera, principalmente) incluyen los certificados raíz de las autoridades de certificación que deseen: no hay regulaciones gubernamentales ni leyes que lo rijan. Sin embargo, hay un organismo voluntario llamado CA / Browser Forum que establece estándares y, desde entonces, todas las empresas de navegadores En la lista anterior se incluyen los miembros que, en la práctica, una autoridad de certificación debe cumplir con esos estándares para que se incluya su certificado.
Para que un certificado sea aceptado, debe haber una cadena de confianza de un certificado raíz en el almacén de confianza de los clientes.
Normalmente, el certificado raíz no se utiliza para firmar directamente certificados de entidades finales. En su lugar, se crea un "certificado intermedio". La ventaja de esto es que los certificados intermedios pueden ser revocados más fácilmente si están comprometidos, pero un certificado intermedio comprometido sigue siendo un problema de seguridad muy serio, ya que la revocación es un proceso frágil.
Para obtener su certificado raíz incluido en el almacén de confianza de las principales CA de Browers, deben comprometerse a seguir ciertos procedimientos y ser auditados. Desafortunadamente, las auditorías tienen una utilidad limitada porque es prácticamente imposible probar que no existen copias de la clave privada a la raíz o certificados intermedios fuera de la infraestructura auditada.
Las CA con sus certificados raíz en el navegador también pueden emitir certificados intermedios a otras entidades, lo que hace que esas entidades sean esencialmente CA. Se supone que el titular del certificado raíz asume la responsabilidad de las acciones de sus subordinados, pero nuevamente es prácticamente imposible demostrar que las claves de los certificados intermedios están bien controladas.
Recientemente, los proveedores de navegadores comenzaron a interesarse más en las actividades de las AC y, en particular, comenzaron a buscar activamente certificados erróneos en uso en Internet. También han introducido un sistema llamado "transparencia de certificado" que, si se aplica, requerirá que las CA declaren públicamente los certificados antes de que se acepten como válidos.
Algunos sitios que venden certificados están administrados por entidades emisoras de certificados que tienen certificados raíz. Algunos son administrados por organizaciones que tienen certificados intermedios pero no certificados raíz. Muchos son solo revendedores que pasan solicitudes de certificados a organizaciones en las primeras dos categorías.
Para ser incluido en el "Almacén de certificados" que contiene las referencias de CA raíz de los principales navegadores web o proveedores de sistemas operativos (Apple, Microsoft, Mozilla, Linux), debe cumplir con los estándares de la industria definidos por Foro CABBrowser .
También se requiere que su infraestructura de CA cumpla con otros aspectos como los procesos (cómo obtener un certificado, dónde se almacenan las claves privadas, cómo certifica la identidad de los solicitantes, etc.). Con el fin de demostrar su cumplimiento, su CA será auditada. Tradicionalmente, lo realiza una de las firmas de auditoría Big Four . Este procedimiento expansivo no es un proceso de una sola vez; Tienes que renovar tu certificación regularmente.
Por ejemplo, Mozilla ha definido el siguiente procedimiento para incluirlo en sus navegadores web.
Lea otras preguntas en las etiquetas certificates openssl