¿Qué es la PKI?

La infraestructura de clave pública (PKI) es un sistema de procesos, tecnologías y políticas que permite cifrar y firmar datos. Con la PKI, es posible emitir certificados digitales que autentiquen la identidad de los usuarios, dispositivos o servicios. Estos certificados crean una conexión segura tanto para páginas web públicas como para sistemas privados, como su red privada virtual (VPN), Wi-Fi interna, páginas Wiki y otros servicios compatibles con la MFA. ¿Alguna pregunta?

PREGUNTAS FRECUENTES

¿Qué es la PKI?

La infraestructura de clave pública (PKI) es un sistema de procesos, tecnologías y políticas que permite cifrar o firmar datos. Con la PKI, es posible emitir certificados digitales que autentiquen la identidad de los usuarios, dispositivos o servicios. Estos certificados funcionan tanto para páginas web públicas como para servicios internos privados (por ejemplo, para autenticar dispositivos que se conectan con su VPN, Wiki, Wi-Fi, etc.)

¿Por qué mi empresa debería utilizar la PKI?

Con la infraestructura de clave pública (PKI), el nivel de seguridad de su red mejora de forma considerable, gracias a tres ventajas clave:

• Autenticación: La validación de identidades garantiza que únicamente puedan acceder a un servidor los usuarios y dispositivos autorizados.
• Cifrado: Mediante un certificado, se puede crear una sesión cifrada, de modo que se garantice la confidencialidad de los datos que se transmiten.
• Integridad de los datos: Los mensajes o datos que envían y reciben los dispositivos y los servidores no sufren modificaciones.

¿Cómo se utiliza la PKI?

Entre otras finalidades, la PKI se puede utilizar para lo siguiente:

• Protección de páginas web
• Cifrado de archivos
• Autenticación y cifrado de correo electrónico mediante S/MIME
• Autenticación de los nodos que se conectan a una red inalámbrica
• Autenticación de las conexiones a su VPN
• Autenticación de las conexiones a servicios y sitios web que contengan datos empresariales, mediante la autenticación mutua TLS

¿Qué es el cifrado completo?

Hablamos de cifrado completo cuando un mensaje se cifra en su dispositivo y se descifra en el dispositivo del receptor. Esto significa que ninguna tercera parte puede interceptar sus datos confidenciales.

¿Qué es una CA?

Una autoridad de certificación (CA) es una tercera parte de confianza que verifica la identidad de una empresa que haya solicitado un certificado digital. Una vez verificada la identidad de la empresa, la CA emite un certificado que vincula la identidad de la empresa a una clave pública. Los certificados digitales son fiables porque están vinculados al certificado raíz de la CA.

¿Qué es un certificado digital?

Un certificado digital garantiza la identidad de su propietario. Como un permiso de conducir, el certificado ha sido emitido por una entidad externa de confianza, no se puede falsificar y contiene datos que identifican al titular.

¿Qué son las claves públicas y privadas y qué relación guardan entre sí?

Las claves públicas y privadas se utilizan para cifrar y descifrar la información. La información cifrada con una clave pública solo se puede descifrar con la clave privada. Este par de claves se denomina criptografía asimétrica (porque el cifrado se realiza mediante claves que no son iguales). Existe una relación matemática entre ambas claves, pero el hecho de conocer una clave no permite averiguar la otra.

¿Qué son las raíces públicas y privadas?

Un certificado raíz proporciona la firma cuando se vincula una identidad a la clave pública. De este modo, se puede saber si un certificado es válido y digno de confianza.

¿DigiCert ofrece soluciones para PKI públicas y privadas?

En resumen, sí. DigiCert ofrece soluciones tanto para PKI privadas como públicas, junto con una plataforma y una API RESTful que permiten automatizar la gestión de los certificados y personalizar los flujos de trabajo de PKI. Es posible que hasta ahora siempre haya acudido a una CA comercial para adquirir certificados SSL públicos. Si se trata de su única referencia, tal vez crea que los certificados privados tienen un coste similar al de los públicos, pero no es así. Emitir un certificado digital privado con DigiCert cuesta mucho menos que obtener un certificado público.

A veces, los administradores e ingenieros de seguridad creen erróneamente que, si optan por una PKI privada alojada, tendrán que limitarse a ciertos perfiles de certificados porque solo tendrán acceso a perfiles de certificados aprobados por el CA/Browser Forum. Sin embargo, DigiCert puede proporcionarle el perfil de certificado que necesite, no tienen por qué ser SSL/TLS. De hecho, ni siquiera tienen que ser necesariamente X.509.

¿Qué es la MPKI?

La PKI gestionada (MPKI) es una solución proporcionada por una CA que permite empezar a automatizar los procesos de los certificados y a personalizar los flujos de trabajo de la PKI. Si llega un momento en que su empresa necesita un gran volumen de certificados, le resultará útil contar con una solución MPKI que simplifique la gestión.

¿Deberíamos crear una CA interna (construir) o utilizar una CA alojada (comprar)?

Puede proteger sus servicios internos (VPN, WiFi, Wiki, etc.) con una CA interna. Para ello, las empresas suelen utilizar Microsoft CA. Sin embargo, crear y mantener una CA interna puede salir caro y exigir mucho tiempo de trabajo. Conviene calcular bien los costes de cada opción antes de decidir. Numerosas CA ofrecen soluciones alojadas con las que se ahorrará parte de los costes de hardware, software y personal que supone la creación de una PKI interna.

¿Qué es una política de certificados?

Una política de certificados (CP) es un documento creado para identificar a los diversos actores de una PKI, así como sus funciones y tareas. La CP especifica aspectos como el modo en que se pueden utilizar los certificados, la forma de elegir los nombres de los certificados, la manera de generar claves, etc. La CP asociada se suele especificar en un campo del certificado X.509. Para obtener información detallada sobre la CP, consulte el documento de referencia más actualizado (RFC 3647): https://tools.ietf.org/html/rfc3647

¿Qué es el almacenamiento de claves y cómo se debe manejar?

El almacenamiento de claves, que también se suele denominar «archivo de claves», consiste en guardar la clave privada de forma segura por si en algún momento se pierde. Para cumplir el Estándar Federal de Procesamiento de la Información (FIPS) y garantizar el máximo nivel de seguridad, le recomendamos que almacene las claves en un módulo de seguridad de hardware (HSM).

¿Qué es un HSM?

Un HSM es una solución basada en hardware de cifrado que permite guardar las claves de forma segura. Por lo general, los HSM se encuentran físicamente en las instalaciones de la empresa y exigen dedicar recursos internos a su mantenimiento, lo cual puede salir caro. Pero existen opciones menos costosas. Por ejemplo, Microsoft Azure Key Vault permite almacenar claves de forma segura en el HSM en la nube de Microsoft. Para empresas de pequeño tamaño o que carezcan de los recursos necesarios para comprar y mantener su propio HSM, Microsoft Azure Key Vault es una posible solución. Algunas CA públicas, como DigiCert, ofrecen integraciones con Microsoft Azure.

¿Qué es lo primero que tengo que hacer para crear una PKI?

En primer lugar, tendrá que evaluar su entorno teniendo en cuenta sus necesidades y la tecnología con la que trabaja. Le sugerimos los siguientes cinco pasos para comenzar:

• Determine cuáles son los riesgos para la seguridad de la red no negociables
• Señale los riesgos para la seguridad de la red que se puedan mitigar con la PKI
• Desarrolle la mezcla adecuada de PKI privada y pública
• Decida si prefiere crear (optando por una CA interna) o comprar (recurriendo a una CA alojada)
• Determine cómo automatizar la distribución de los certificados a los dispositivos

Si necesita ayuda, escriba a enterprise@digicert.com para ponerse en contacto con uno de nuestros arquitectos de PKI.