Estoy creando una autoridad certificadora porque es importante actualmente cifrar prácticamente todas las conexiones sin embargo no me gusta la forma en que los navegadores obligan a los usuarios a comprar certificados que cuestan aproximadamente 100 dólares por año. Muchas veces más caro que el propio dominio del sitio web.
¿ Por que obligan ?
Cuando una persona quiere asegurar las conexiones de su sitio puede crear su propio certificado y auto firmarlo pero cuando lo intente usar el navegador ATERRORIZARA al usuario sacando leyendas como que está entrando en una página peligrosa y que no es de confianza. Algo como esto:
La página realmente está segura en su transmisión de datos, pero se le advierte al usuario que la página podría ser de un defraudador y esto puede no ser cierto. Tal vez la leyenda o explicación a mostrar debería ser diferente. Un texto como:
La página a la que esta accediendo es segura para transferir datos. Sin embargo si está intentando entrar a un comercio electrónico, banco o a sus redes sociales usted no debería estar leyendo este mensaje.
El aviso anterior ya no es de terror, si leo algo así me queda claro que estoy transmitiendo datos seguros pero que no debo confiar en el sitio si se trata de un banco o un comercio electrónico, pero si es la página de PEPE o de LAURA entonces no hay ningún problema.
¿ Por que aterrorizan de esa forma ?
La intención del navegador es que no confíes en un sitio bancario que no fue certificado para evitar el pishing y el robo de identidad, una CA comercial solo le firma sus certificados a quienes demuestran que son los dueños de la empresa a la que representan en internet, por ejemplo yo demostré ser Last Dragon por eso cuando accedes a la cueva del dragon ( esta página ) no recibes mensajes de advertencia y la conexión es segura. Por su puesto hay que pagar para comprobar quien eres.
¿ Como funcionan los certificados de seguridad en el navegador de internet ?
Las autoridades de certificación crean un certificado raíz auto firmado como el que crearía cualquier persona la única diferencia es que Microsoft confía en ellas y cuando entrega una nueva versión de Internet Explorer dentro del navegador viene el repositorio de todos los certificados raíz en los que Microsoft confía. Lo mismo ocurre con Firefox viene con su repositorio de certificados, Chrome y Google confían en lo que confíe Microsoft en repositorio de certificados raíz, así que no incluyen un repositorio usan el mismo que usa Internet Explorer y Windows.
Eso es todo, simplemente el certificado raíz viene incluido en el navegador o en el sistema operativo.
¿ De qué sirve el certificado raíz ?
El certificado raíz como cualquier otro certificado sirve para firmar otros certificados es una jerarquía por eso se les denomina raíz porque arriba de ellos no hay mas certificados, simplemente se auto firman ellos mismos pero hacia abajo se usan para firmar certificados de menor rango que son los que se usan en los sitios WEB.
Cuando un sitio web recibe un certificado de seguridad le dice al navegador por cual autoridad certificadora fue firmado. El navegador va a su repositorio de certificados raíz y busca que este en la lista. Si lo encuentra aparece un candado y se puede navegar sin problemas de lo contrario aparece el mensaje de advertencia de que no se confía en el sitio.
¿ Como una autoridad certificadora firma las solicitudes de nuevos certificados ?
El solicitante tiene que crear su llave privada y con la cual crear un CSR (certificate signing request ) este CSR es un certificado que requiere ser firmado por otro. La casa certificadora usa su certificado raíz para firmar el CSR , una vez firmado pasa a ser un CRT ( Certificate ) Certificado valido y puede ser usado en cualquier pagina WEB o donde sea necesario.
Last Dragon Certification Authority
Con la autoridad que yo mismo me di he creado mi certificado raíz para ser una CA ( Certification Authority ) obviamente ningún navegador incluye mi certificado raíz en su repositorio, pero si decides instalar mi certificado raíz podrás usar los certificados que firme sin que aparezcan esos horribles mensajes de advertencia del navegador.
Difunde mí certificado raíz con tus amigos y conocidos para poder disfrutar de páginas WEB seguras y los certificados serán firmados gratuitamente
Descarga mi certificado raíz e instálalo en tu navegador, también se incluye en al entregar el certificado firmado.
Como hacer un CSR para ser firmado por Last Dragon en un CRT ( Certificado confiable o valido )
Se hace exactamente igual que si hicieras su solicitud a una CA comercial, creas tu llave privada y con ella tu solicitud CSR, si no sabes cómo ejecuta estos comandos en tu consola de GNU/Linux usando openssl
Generar llave privada
openssl genrsa -des3 -out mykey.pem 1024
La llave privada requiere una contraseña cada vez que se utiliza, si no quieres escribirla una y otra vez puedes incluirla en la llave con el siguiente comando
openssl rsa -in mykey.pem -out claveprivada.key
Finalmente se realiza el CSR
openssl req -new -key claveprivada -out certificado.csr
El contenido de certificado.csr se envía para firma y el resultado es un certificado firmado listo para ser usado
Entra aquí para ir a la zona de firma de CSR de Last Dragon Autoridad certificadora
En el siguiente video se muestra como instalar el certificado raíz de Last Dragon en el repositorio de Windows de modo que Chrome e Internet Explorer ya no muestren advertencias.
Hola, pues bueno yo aqui molestanto otra vez jaja me parecen muy interesantes tus articulos, pues mira aqui con otra duda.
Siempre he tenido el conociemiento de como expedir y el CA y todo ese rollo, pero podría un Autofirmado Extender un SSL Del tipo EV ? pero de forma local, por ejemplo soy x organización y necesito un EV pero eso solo solo funcionara en un entorno local, se podría? tengo entendido que el EV, OV y ese tipo de certificados más pesados solo son para farolear, que tan cierto es esto?
Edgar los certificados extendidos son algo así como la máxima confianza es, por que ponen en verde la barra del navegador es como si el dios del Internet te dijera, confía ciegamente en esta persona, ese tipo de certificado es el que los bancos y tiendas en linea deben usar. hasta donde se no es posible auto firmar un EV
Su uso es solo para darle confianza a los usuarios finales, si la pagina web no es una empresa no le veo ningún sentido, son excesivamente caros.
Si, lo sé, ya que yo me dedico al negocio del web hosting y certificados ssl valla la pregunta, ya tenía conocimiento de que no se podía, solo me queria sacar la espina de eso xD jajaja un certificado EV Solo es para farolear puesto que dan la misma protección, lo único que cambia es la barra verde del navegador.
Saludos exelente post ya realize mi certificado no manejaba que fuera tan facil realizar un certificado gracias por el post.
Osea si soy un defraudador puedo usar tu certificado y asi todos los que lo hayan instalado ya no les mostrara la advertencia y puedo hacerles pishing? o como?
Eso sucede con cualquier casa certificadora, pero hay un arma para eso… REVOKE
puedo revocar tu certificado y aunque hayas instalado mi root certificate seguira apareciendo la advertencia, es lo mismo que hacen las CA comerciales cuando alguien da mal uso a sus certificados, simplemente lo revocan