Las autoridades de certificación (CA, por sus siglas en inglés) son las responsables de emitir los certificados digitales. Es decir, los encargados de asegurar que detrás de cada web no haya un impostor que pueda espiar las comunicaciones y robar datos personales de los usuarios. Sin embargo, el uso de este tipo de certificados no es obligatorio y muchos sitios web carecen de él, ya que se requieren ciertos conocimientos para configurarlo. Ahora, diversas plataformas se han unido en un proyecto colaborativo de la Fundación Linux para crear una nueva autoridad abierta y gratuita que facilite la entrega de este tipo de certificados, mejorando la seguridad de la red.
Los certificados digitales son una herramienta que permite a los usuarios navegar con cierta seguridad por la red, una especie de carnet de identidad digital que certifica que cada web es quien dice ser. El problema es que no todos los sitios web disponen de estos certificados. Para intentar estimular el uso de este mecanismo de seguridad, el Grupo de Investigación sobre Seguridad en Internet (ISRG, por sus siglas en inglés), una ONG independiente, ha impulsado el desarrollo de una nueva autoridad que automatice y simplifique el mecanismo de emisión de certificados.
¿Qué son las autoridades de certificación?
El primer paso para asegurar la confidencialidad de las comunicaciones en la red es cifrarlas, es decir, hacerlas ilegibles para cualquier observador no autorizado. Para ello se suele utilizar lo que se conoce como criptografía asimétrica, que está basada en la existencia de dos claves de cifrado, una pública y otra privada.
Alfonso Muñoz, editor de Criptored, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información, lo explica de forma sencilla con un ejemplo en el que un usuario llamado Alberto quiere enviar un mensaje a una usuaria llamada Beatriz. Antes de enviar el mensaje, explica Muñoz, “Beatriz envía a Alberto un candado abierto (la clave pública)”, entonces, “Alberto introduce el mensaje en un cofre y lo protege cerrando el candado, del que solo Beatriz posee la llave (la clave privada)”, de esta forma “solo ella podrá abrir el candado y recuperar el mensaje”.
Sin embargo, existe un problema a la hora de utilizar este tipo de criptografía. ¿Cómo saber si la clave pública de Beatriz es de verdad de Beatriz y no de un impostor? Aquí es donde entran en juego las autoridades de certificación, ya que son éstas las que confirman que la clave pública corresponde a la persona o entidad correcta. De esta forma, “las claves públicas se presentan, junto a otra información adicional, en un formato especial conocido como certificados digitales”, explica Muñoz.
Este tipo de certificados son utilizados por muchas webs de comercio electrónico o por entidades bancarias, ya que ambas manejan información sensible de los usuarios, como números de cuenta, tarjetas de crédito, etc. Sin embargo, el uso de este tipo de certificados no está tan extendido como debiera. Según ha explicado a eldiario.es el director ejecutivo del ISRG, John Aas, “existe una confusa variedad de opciones” a la hora de obtener un certificado digital y el proceso puede ser “complejo y costoso”.
Un proceso “totalmente automatizado”
Gracias a la nueva CA impulsada por el ISRG, llamada Let's Encrypt, el proceso de emisión de certificados estará “totalmente automatizado”, asegura Aas. Según este investigador, el objetivo de esta herramienta “es hacer el procedimiento lo más simple posible”, ya que, pese a que algunas entidades emisoras ya habían automatizado el proceso, “la automatización no era completa, ya que se debían configurar las cuentas de forma manual y el proceso de emisión no era todo lo sencillo que debiera ser”.
Pero, si bien Let's Encrypt simplifica el proceso para la obtención de certificados digitales, no supone evolución tecnológica alguna. “En realidad, no introduce ninguna novedad criptográficamente”, explica Muñoz, y su utilidad está limitada a “facilitar el uso de comunicaciones HTTPS a usuarios que no poseen conocimientos técnicos o dinero para adquirir un certificado digital de autoridades de certificación tradicionales”.
Quién vigila a los vigilantes
Otro de los grandes problemas de las CA es cómo garantizar la confianza en estas instituciones. Básicamente los usuarios deben confiar en que las CA van a actuar de buena fe, sin embargo, en los últimos años se han visto varios casos de malas prácticas en los que se ha violado la privacidad de los usuarios, como el caso detectado por Google o la polémica del fabricante de ordenadores Lenovo. Según Muñoz, “Let's Encrypt no soluciona este problema, o al menos su solución va en la linea de otros fabricantes, centrando su interés en proporcionar una (o varias) CA en las que [aparentemente] sí podemos confiar”.
Desde ISRG pretenden resolver el problema de la falta de confianza añadiendo transparencia al proceso. Según Aas, “las CA piden a la gente que confíe en ellos, pero la mayoría no son lo suficientemente abiertas y transparentes”, por eso, añade, “en Let’s Encrypt todo el código fuente es público, nuestros protocolos son públicos, publicamos todos los certificados y tratamos de ser lo más transparentes posible sobre nuestras políticas, nuestras prácticas y los incidentes que surjan”.
Let's Encrypt, comenzó a operar en fase beta el pasado mes de diciembre y ya ha emitido más de 130.000 certificados, según ha informado la Electronic Frontier Foundation. Aas ha asegurado que las pruebas “van bien” y que esperan emitir “millones de nuevos certificados a lo largo de este año”.