Qué es una Autoridad de Certificación (CA) - Emisión de certificados, cadena de confianza y CT

Qué es una CA

Una Autoridad de Certificación (Certificate Authority, CA) es una organización que emite y gestiona certificados digitales. Cuando un sitio web comunica por HTTPS, el navegador necesita verificar si el sitio está realmente gestionado por su operador legítimo. El certificado emitido por la CA es la base de esa verificación.

La CA confirma que el solicitante es el administrador legítimo del dominio y firma electrónicamente un certificado que vincula la clave pública con el nombre de dominio. Los navegadores incorporan una lista de CAs de confianza (root store) y solo aceptan como válidos los certificados firmados por CAs de esa lista.

Tipos de certificado - DV/OV/EV

Solo verifica el control del dominio. Se completa en minutos mediante DNS o email. Let's Encrypt ofrece este tipo gratuitamente. Adecuado para sitios personales y blogs.

Además del dominio, verifica la existencia real de la organización. Requiere revisión de registros y verificación telefónica. Tarda varios días. Para sitios corporativos.

La verificación más rigurosa. Verifica existencia legal, ubicación física y autoridad del solicitante. Para instituciones financieras y grandes empresas.

La fortaleza del cifrado no difiere entre DV/OV/EV. La diferencia es el nivel de verificación de "quién gestiona el dominio".

Cadena de confianza (Chain of Trust)

El sistema de CAs se basa en una estructura jerárquica llamada "cadena de confianza".

CA raíz: En la cima de la confianza. Firma su propio certificado (certificado raíz). Preinstalado en OS y navegadores.
CA intermedia: Recibe certificado de la CA raíz. Emite la mayoría de certificados de servidor. Diseño para evitar usar directamente la clave privada de la raíz.
Certificado de servidor: Instalado en el sitio web. Firmado por la CA intermedia.

El navegador verifica la cadena: certificado de servidor → CA intermedia → certificado raíz. Si llega a un certificado raíz del root store, lo considera "confiable".

Impacto de Let's Encrypt

Aceleró la adopción de HTTPS: Antes de Let's Encrypt, los certificados SSL costaban miles de yenes anuales. La gratuidad elevó la adopción de HTTPS del ~40% en 2015 a más del 95% en 2025.
Automatización con ACME: Estandarizó el protocolo ACME para automatizar emisión y renovación. Con Certbot, un solo comando obtiene y configura el certificado.
Validez de 90 días: Frente a los 1-2 años tradicionales, reduce el riesgo de filtración de claves privadas y promueve la renovación automática.

Incidente DigiNotar y Certificate Transparency

En 2011, la CA holandesa DigiNotar fue hackeada y se emitieron certificados fraudulentos para más de 500 dominios incluyendo google.com. DigiNotar fue eliminada de todos los navegadores y quebró.

Esto impulsó Certificate Transparency (CT):

Logs CT: Todos los certificados emitidos se registran en servidores de log públicos de solo escritura. Los administradores de dominio pueden monitorear si se emiten certificados fraudulentos para su dominio.
SCT: Evidencia de registro en CT. Chrome no confía en certificados sin SCT desde 2018.
Combinación con HSTS: CT detecta certificados fraudulentos y HSTS previene downgrade a HTTP, logrando defensa multicapa.

Conceptos erróneos comunes

Si aparece el candado HTTPS, el sitio es seguro: El candado solo indica que la comunicación está cifrada, no que el operador sea confiable. Los sitios de phishing también pueden obtener certificados DV. Es importante verificar el nombre de dominio en la URL.
Los certificados EV tienen cifrado más fuerte que DV: La fortaleza del cifrado no depende del tipo de certificado. DV y EV usan el mismo protocolo TLS y suites criptográficas. La diferencia de EV es la rigurosidad de verificación de identidad, no el nivel de cifrado.

Autoridad de Certificación (Certificate Authority)