Saltar al contenido

¿Cuál es la diferencia entre un “certificado de cliente” X.509 y un certificado SSL normal?

Solución:

Un certificado X509 es un tipo de clave pública en un par de claves pública / privada. Estos pares de claves se pueden usar para diferentes cosas, como el cifrado a través de SSL o para la identificación. Los certificados SSL son un tipo de certificado X509. SSL funciona cifrando el tráfico y verificando a la parte (Verisign confía en que este sitio web es quien dice ser, por lo que probablemente usted también podría hacerlo). Verisign actúa como una autoridad de certificación (CA). Se confía en la CA porque todo lo que dice debe tomarse como verdad (la ejecución de una CA requiere importantes consideraciones de seguridad). Por lo tanto, si una CA te entrega un certificado que dice que confía en que realmente eres tú, tienes un certificado de usuario / certificado de cliente.

Algunos de estos tipos de certificados se pueden utilizar en todos los ámbitos, pero otros solo se pueden utilizar para determinadas actividades.

Si abre un certificado en Windows (busque algo sobre SSL en IE y observe las propiedades del certificado) o ejecute certmgr.msc y vea un certificado, consulte la pestaña Detalles> Uso de claves. Eso dictará para qué se permite hacer / usar el certificado.

Para SOAP, el certificado se puede utilizar para dos cosas: identificación y cifrado. Bueno, tres si incluye firmas de mensajes (hash de mensajes).

Los certificados de cliente identifican al cliente o usuario que llama. Cuando la aplicación realiza una solicitud SOAP, entrega el certificado al servicio web para indicarle quién realiza la solicitud.

En TLS, se requiere que el servidor tenga una clave privada y un certificado (a veces conocido como certificado de servidor). El certificado de servidor identifica y autentica al servidor. Opcionalmente, el cliente también puede tener su propia clave privada y certificado (generalmente llamado certificado de cliente). Si se utiliza un certificado de cliente, identifica y autentica al cliente.

En la web, con HTTPS, normalmente el servidor tiene un certificado de servidor, pero no se utilizan certificados de cliente. Esto significa que el cliente puede autenticar con qué servidor está hablando, pero el servidor no puede autenticar qué cliente se está conectando a él.

Sin embargo, en muchos contextos programáticos, normalmente querrá que ambos extremos se autentiquen entre sí. Por lo tanto, querrá utilizar certificados de servidor y certificados de cliente.

En TLS, todos los certificados son certificados X.509. X.509 es solo el formato de los datos.

Los certificados incluyen una clave pública y una firma de una autoridad de certificación (CA). En la web, normalmente los sitios web tienen un certificado de servidor emitido (firmado) por Verisign o alguna otra CA conocida. Los navegadores web vienen con una lista de casi 100 CA diferentes, preinstaladas, y los sitios web más utilizados tienen un certificado de servidor emitido por una de esas CA. Por ejemplo, Verisign es una de las CA en la lista estándar de CA de todos los navegadores. Verisign le cobra dinero, si desea que le emitan un certificado.

La alternativa para que su certificado sea firmado por una CA estándar es que puede usar un certificado autofirmado: un certificado emitido, no por una de las CA estándar, sino por usted mismo (o cualquier persona que desee). Esto no se usa mucho en la web, porque los certificados de servidor autofirmados hacen que los navegadores muestren cuadros de diálogo de advertencia para el usuario, lo que la mayoría de los sitios web intentan evitar. Sin embargo, para usos programáticos, los certificados autofirmados pueden funcionar bien. Y si usa certificados autofirmados, no tiene que pagar dinero a Verisign. Puede encontrar tutoriales sobre cómo utilizar las herramientas de línea de comandos de OpenSSL para crear sus propios certificados autofirmados.

SSL es sinónimo de TLS. (Técnicamente, SSL es el nombre que se usó con varias versiones anteriores del estándar, y TLS es un nombre nuevo para varias versiones más recientes de los estándares. Sin embargo, muchas personas usan los dos términos indistintamente).

Le animo a leer el artículo de Wikipedia sobre certificado de clave pública para obtener más información útil.

Certificados SSL “normales” normalmente están Certificados X.509.
Sin embargo, estos solo se pueden usar para la autenticación y el cifrado del servidor: uno de los atributos de los certificados es su propósito designado y, por lo general, no puede usarlo para un propósito diferente.
Aparte de eso, sin embargo, un certificado de cliente es prácticamente idéntico a un certificado de servidor, simplemente designado como “Autenticación de cliente”.

Funcionalmente, a menudo encontrará que algunos sistemas eligen aceptar solo un subconjunto de certificados de cliente, por ejemplo, los emitidos por su propia CA.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *