La verdad detrás del icono del candado en el navegador

El icono del candado en la barra de direcciones de tu navegador no significa "este sitio es seguro". Significa "tu comunicación con este sitio está cifrada". La tecnología detrás de ese cifrado es el certificado digital.

Los sitios de phishing también muestran el icono del candado. El candado indica seguridad en el transporte, no fiabilidad del sitio. Comprender esta distinción requiere saber cómo funcionan los certificados digitales.

¿Qué es un certificado digital?

Un certificado digital es el documento de identidad de un sitio web. Así como un pasaporte demuestra tu identidad con el respaldo del gobierno, un certificado digital demuestra la autenticidad de un dominio con el respaldo de una Autoridad de Certificación (CA).

Un certificado contiene:

  • Nombre de dominio: El dominio para el que el certificado es válido (por ejemplo, kakunin-ip.click)
  • Clave pública: Utilizada para establecer la comunicación cifrada
  • Emisor: La Autoridad de Certificación que lo emitió
  • Período de validez: Actualmente limitado a un máximo de 398 días
  • Firma digital: La firma a prueba de manipulaciones de la CA

Qué ocurre durante una conexión HTTPS

Cuando tu navegador se conecta a un sitio HTTPS, un handshake TLS se completa en 0,1-0,3 segundos:

  1. Presentación del certificado: El servidor envía su certificado digital al navegador
  2. Validación del certificado: El navegador verifica la fecha de expiración, la coincidencia del nombre de dominio y la firma de la CA
  3. Verificación de la cadena de confianza: El navegador confirma que la CA emisora está en su lista integrada de CAs raíz de confianza
  4. Intercambio de claves: Tras la verificación exitosa, se intercambia de forma segura una clave de cifrado compartida
  5. Comienza la comunicación cifrada: Todo el tráfico posterior se cifra

Si algún paso falla, el navegador muestra una advertencia de "Tu conexión no es privada".

Tipos de certificados y niveles de confianza

Tipo Validación Coste Caso de uso
DV (Validación de Dominio) Solo propiedad del dominio Gratuito a bajo coste Sitios personales, blogs
OV (Validación de Organización) Dominio + existencia de la organización Moderado Sitios corporativos, comercio electrónico
EV (Validación Extendida) Dominio + organización + existencia legal Alto Bancos, instituciones financieras

Let's Encrypt hizo gratuitos los certificados DV, acelerando la adopción de HTTPS en toda la web. Sin embargo, esto también significa que los sitios de phishing pueden mostrar fácilmente el icono del candado.

La cadena de confianza

La confianza en los certificados digitales funciona a través de una cadena. Tu navegador viene precargado con aproximadamente 100-150 certificados de CA raíz, seleccionados mediante auditorías rigurosas por los fabricantes de navegadores como Mozilla, Apple, Google y Microsoft.

Los certificados de sitios web normalmente se emiten a través de CAs intermedias, no directamente por las CAs raíz. El navegador recorre la cadena desde el certificado del sitio hasta la CA intermedia y luego hasta la CA raíz. Si llega a una raíz de confianza, el certificado se considera válido.

Este sistema falla cuando una CA emite certificados fraudulentos. DigiNotar (2011) y Symantec (2017) perdieron la confianza y fueron eliminadas de los navegadores. La Transparencia de Certificados se creó para detectar estos incidentes. Cuando una CA se ve comprometida, los certificados fraudulentos pueden usarse para interceptar comunicaciones y ampliar la visión que un atacante tiene de tu huella digital.

Por qué la vida útil de los certificados se está reduciendo

La validez máxima de los certificados ha disminuido constantemente: de 5 años en 2012 a 398 días desde 2020. La propuesta de Apple de 2025 pretende reducirla a 47 días para 2029.

Una vida útil más corta limita la ventana de daño si una clave privada se ve comprometida. Cuanto menor sea la validez, menos tiempo tiene un atacante para explotar un certificado robado. Puedes inspeccionar el certificado y los detalles de cifrado de tu propia conexión ejecutando una comprobación de seguridad en IP確認さん.

Para una comprensión más profunda de los certificados digitales y la criptografía, los libros de criptografía ofrecen una cobertura completa.

Términos del glosario relacionados

SSL/TLS El protocolo que utiliza certificados digitales para establecer comunicación cifrada. Cifrado La clave pública del certificado se usa para intercambiar de forma segura una clave de cifrado compartida. Phishing Los certificados DV gratuitos permiten que los sitios de phishing también muestren el icono del candado.