Un certificado digital es un documento justo que ha sido firmado por un tercero confiable, que se supone que verificó que todo lo que está en el documento es válido. Entonces, no es que mágicamente proteja el material criptográfico de los imitadores, es solo que algunas personas (que hacen negocios de ese tipo de cosas y supuestamente son buenas en eso) han verificado que la clave realmente pertenece a la entidad o persona que parece a, y responder por ello. Es tan seguro como confiar en el tercero.
Por ejemplo, mientras navego por esta página, puedo examinar el certificado del sitio web Quora HTTPS. Contiene, entre otras cosas:
- Una clave pública
- La identidad del titular de la clave (Quora, Inc., Mountain View, California, EE. UU.) Y
- Los dominios en los que es válido (* .quora.com)
- La identidad del tercero que entregó el certificado (la autoridad de certificación, o CA), en este caso se llama DigiCert
Todo lo que significa es que Quora pagó a una compañía llamada DigiCert para que emitiera el certificado. Les proporcionaron su clave pública, una lista de dominios válidos, su identidad y, presumiblemente, algunas pruebas de identidad y documentación que establecen que son los usuarios legítimos del dominio http://quora.com y que desean utilizar esa clave pública para eso. DigiCert verificó todo y firmó todo el certificado con su propia clave privada.
- ¿Cómo se comparte la clave en la criptografía de clave simétrica?
- ¿Es posible garantizar que los datos transmitidos sean correctos con una precisión del 100%?
- ¿Quién firmará / cifrará digitalmente todos sus correos electrónicos en el trabajo?
- ¿Es 3scale una solución efectiva de autenticación / seguridad API independiente?
- ¿Por qué las fuerzas del Eje no atacaron Gibraltar?
Cuando visite Quora, debe establecer una conexión segura. Para esto, su navegador utiliza criptografía de clave pública para intercambiar claves de sesión; por lo tanto, necesita la clave pública de Quora y búsquela en el certificado. ¿Es válido este certificado? Básicamente no tiene idea (cualquiera puede hacer un certificado), pero este certificado ha sido firmado por DigiCert, que probablemente sea una compañía para la cual su navegador conoce la clave pública y está configurada para considerarla confiable para cosas como la firma de certificados. El navegador valida la firma del certificado con la clave pública y, por lo tanto, utiliza la clave pública contenida en el interior, confiando en que DigiCert haya verificado que es legítimo.
¿Por qué su navegador confía en DigiCert? Porque es una compañía de autoridad de certificación acreditada que ha estado en el negocio por un tiempo y es reconocida como seria y segura. ¿Deberías confiar en ellos? Para cosas como navegar por Quora, probablemente. Podrían violar su seguridad, claro (deliberadamente o involuntariamente a través de la seguridad descuidada), pero su negocio se basa en que todos confían en ellos para que eso no suceda, por lo que tienen todo que perder y nada que ganar al hacerlo.
En última instancia, lo relevante es que su autoridad tiene el incentivo y los medios para protegerlo de las personas que lo amenazarían. Si usted es Quora y desea proteger su sitio contra estafadores aleatorios, usar ese tipo de CA tiene sentido.