Crear un certificado autofirmado es sencillo

SeguridadCategoría
lectura de 5 minuto(s)
Fernando Paul Lara Galicia

Descubre aquí cuán sencillo es crear un certificado autofirmado y proteger tu sitio web y los datos de tus clientes. ¡Ya no te arriesgues!

Crear un certificado autofirmado es sencillo y sólo necesitas seguir unos cuantos pasos para ello y cumplir con algunos requisitos, nada complicados, en temas de software y actualizaciones. Hay que señalar que eso no implica que cuentes con la confianza del usuario, pues este tipo de certificados son recomendados exclusivamente para uso interno y no para sitios web comerciales.

¿Autofirmado o privado?

Algo importante que debes conocer es que los certificados autofirmados pueden permitir el mismo nivel de cifrado que uno firmado por una autoridad de confianza y ahorrarte bastante dinero, pero hay dos inconvenientes principales: la conexión de un visitante podría ser secuestrada por un hacker, permitiéndole ver todos los datos enviados a través de esta conexión y que este certificado no se puede revocar como uno de confianza.

Los certificados autofirmados emitidos por una entidad no profesional que trabaja para tu empresa no son apropiados para uso comercial.

Un certificado tiene propósitos esenciales de seguridad: distribuye una clave pública y verifica la identidad del servidor de tu compañía para que los visitantes sepan que no están enviando su información a la instancia equivocada.

Sólo se puede verificar correctamente la identidad del servidor cuando es firmado por un tercero de confianza, ya que lo tiene en su lista de “aprobados”, evitando una intrusión cibernética. Cualquier ciber-delincuente puede crear un certificado autofirmado y lanzar un ataque que robe información. Eso en el menor de los casos…

Si un usuario sólo acepta un certificado autofirmado, un atacante podría analizar todo el tráfico o intentar configurar un servidor de imitación para obtener información adicional del cliente.

Es por ello que, aunque parece una gran y económica opción, nunca querrás usar un certificado autofirmado en un servidor que requiere que los visitantes, de los cuales desconoces su identidad, se conecten para acceder a tu sitio web.

En estos casos realmente necesitarás destinar un presupuesto para obtener un certificado de confianza. La buena noticia es que hay entidades autorizadas que ofrecen planes accesibles.

Ventajas de certificados autofirmados

Cuando los clientes sólo tienen que pasar por una Intranet local para llegar al servidor, prácticamente no hay posibilidad de un ataque de hombre en medio.

Hay que dejar muy en claro que no hay necesidad de gastar dinero extra en la compra de un certificado de confianza cuando solamente estás creando o probando una aplicación interna, la cual sería utilizada por tu personal.

Si tienes un sitio personal pequeño que transfiere información no crítica hay poco incentivo para que alguien vea una oportunidad de atacar las conexiones en tu red.

Sólo debes tener en cuenta que todos los visitantes verán una advertencia en sus navegadores al conectarse a un servidor que utiliza un certificado autofirmado, diciendo que tu sitio no es seguro y que entren bajo su propio riesgo. Normalmente después de esto es cuando se decide que es mejor tener uno de confianza.

Si planeas utilizar un certificado de este tipo para una de las tantas situaciones en las que puede ser apropiado es bueno crear uno totalmente privado. Esta es una opción más segura que te ayudará a evitar esas advertencias que suelen inspirar desconfianza cuando se busca navegar en un sitio web.

¿Cómo crear un certificado autofirmado?

Primero hay que señalar que desarrollarlo en IIS 7 es mucho más fácil de hacer que en versiones anteriores de IIS.

Crearlo en IIS

IIS proporciona, en esta nueva actualización, una interfaz simple para generar un certificado autofirmado. Un inconveniente es que el nombre común será siempre el nombre del servidor, en lugar del nombre del sitio web que has elegido anteriormente. Para cambiar el nombre común necesitarás seguir algunos pasos adicionales que se te van a ir indicando si utilizas esta plataforma.

Para Apache con SSL

Hay una opción de certificados autofirmados para Apache, que requiere el uso de OpenSSL. Esto te dará un control total sobre cómo se crea el certificado. No tendrás complicaciones si conoces sobre el tema, aunque alguien del equipo de TI lo puede hacer.

Con Java Keytool

Otra forma es generarlo con Java Keytool, que muchos especialistas consideran la más simple de todas las plataformas, aunque no obtienes tanto control como el uso de OpenSSL.

Para desarrollo y lanzamiento de un sitio

Muchos desarrolladores y administradores de TI tienen la necesidad de implementar algún sitio web a través de HTTPS utilizando un certificado SSL. Si bien este proceso es bastante sencillo para un sitio en producción, para los propósitos de desarrollo y pruebas pueden crear uno autorfirmado que ayude simplemente a ver que todo funciona correctamente.

Como alternativa a la compra y renovación de un certificado anual, puedes aprovechar la capacidad del servidor de Windows para generar un certificado autofirmado. Puede ser conveniente, fácil y capaz de satisfacer tus necesidades internas perfectamente.

Sólo recuerda que este tipo de certificados no son aptos para usarse en tu sitio web comercial, sino para trabajos internos.