¿Cuál es la diferencia entre los certificados de cliente y los de servidor?
Los certificados de cliente son certificados digitales para que usuarios y particulares demuestren su identidad ante el servidor. Suelen utilizarse en empresas privadas para autenticar solicitudes ante servidores remotos. Los certificados de servidor, más conocidos como certificados TLS/SSL, se utilizan para proteger servidores y dominios web. Desempeñan una función muy similar a la de los certificados de cliente, salvo que estos últimos se utilizan para identificar al cliente o particular, y los primeros autentican al propietario del sitio.
¿Qué es un certificado de cliente?
Los certificados de cliente sirven, como su propio nombre indica, para identificar a un cliente o usuario, autenticándolo ante el servidor y estableciendo con exactitud quién es. Algunas personas, cuando oyen hablar de términos como «PKI» o «certificado de cliente», piensan automáticamente en empresas que protegen y completan las transacciones en línea de sus clientes. Sin embargo, estos certificados se encuentran en nuestra vida cotidiana de muchas formas: al iniciar una sesión en una VPN, al usar una tarjeta en un cajero automático, al presentar una tarjeta identificativa en la entrada de un edificio, al usar una tarjeta inteligente en el transporte público, etc. Estos certificados digitales se encuentran incluso en los surtidores de gasolina, los robots de las cadenas de montaje de automóviles y hasta en nuestros pasaportes.
En Europa continental y en muchos otros países, el uso de los certificados de cliente está especialmente extendido, y los gobiernos expiden documentos de identidad que tienen múltiples usos, como pagar los impuestos locales y las facturas de la electricidad o para el carné de conducir. La razón es sencilla: los certificados de cliente desempeñan un papel vital a la hora de garantizar la seguridad en línea.
¿Qué es un certificado de servidor?
Los certificados de servidor suelen emitirse para nombres de host, que pueden ser un nombre de máquina (como «XYZ-SERVER-01») o un nombre de dominio (como «www.digicert.com»). El navegador web que llega al servidor valida que el certificado TLS/SSL del servidor es auténtico. Así, el usuario sabe que su interacción con el sitio web no está expuesta a intrusos y que el sitio web es legítimo. Esta seguridad es fundamental para el comercio electrónico; por eso el uso de certificados está tan extendido.
¿Cómo actúan conjuntamente los certificados de servidor y los de cliente para protegerle en Internet?
En la práctica, el propietario de un sitio web obtiene un certificado de servidor dirigiéndose a un proveedor de certificados como DigiCert con una solicitud de firma de certificado (CSR). Se trata de un documento electrónico que contiene toda la información esencial: el nombre del sitio web, la dirección de correo electrónico de contacto e información sobre la empresa.
El proveedor de certificados firma la solicitud y genera un certificado público que se facilita a cualquier navegador web que se conecte al sitio web y, lo que es más importante, demuestra al navegador web que el proveedor ha emitido un certificado a la persona que considera propietaria del sitio web. Sin embargo, antes de emitir el certificado, el proveedor de certificados solicitará el correo electrónico de contacto del sitio web a un registrador público de nombres de dominio y contrastará esa dirección publicada con la dirección de correo electrónico facilitada en la solicitud del certificado, cerrando así el círculo de confianza.
Además, puede configurar su sitio web para que cualquier usuario que desee conectarse tenga que facilitar un certificado de cliente válido, y un nombre de usuario y contraseña válidos. Es lo que se denomina «autenticación de dos factores»: en este caso, «algo que sabemos» (la contraseña) y «algo que tenemos» (el certificado).
Para quienes realizan transacciones en la web, los certificados suponen el fin del anonimato, ofreciendo garantías de que se puede confiar en los sitios web con los que se interactúa en línea. En un mundo digital en el que nuestra seguridad se ve continuamente amenazada, esta garantía no tiene precio.
