1. Quienes somos
  2. Servicios
  3. Ayuda
  4. Howto
  5. Amig*s
  6. Donar
  7. ||
  8. it
  9. en
  10. es
  11. de
  12. fr
  13. pt
  14. cat
My Account Login

Cómo comprobar la validez del certificado de nuestra Autoridad de Certificación

Antes de instalar nuestro certificado una vez que se lo haya descargado, debe verificar que el certificado que es realmente válido. Esto asegura que usted no confiará en un certificado que le puede haber servido alguien que actúe como Man-In-The-Middle (Un hombre en el medio) entre usted y nuestro servidor (por ejemplo, cualquier agencia gubernamental que quiera espiar sus comunicaciones).

Hay un par de opciones para la verificación:

DNSSEC

Ahora tenemos un buen método criptográfico para asegurar la validez del certificado que ha descargado. Este utiliza el protocolo DNSSEC y la extensión DANE. Obtendrá la huella digital SHA256 de nuestro certificado mediante DNSSEC, que valida cualquier duda y garantiza que la respuesta no es fraudulenta.

DNSSEC se basa en una resolución local de confianza para hacer cumplir la verificación de firmas en las respuestas. Echa un vistazo a la página de DNSSEC para obtener instrucciones sobre cómo configurar una. Por ahora, vamos a suponer que el sistema de resolución de confianza se está ejecutando en el servidor local.

Compruebe el certificado en Linux/Mac OS X

Para realizar la validación en Linux necesitará openssl y el programa de comandos dig (Domain Information Groper) en los servicios públicos, normalmente se encuentran en los paquetes openssl y dnsutils; bajo OS X esas utilidades están ya instalados.

Una vez que haya descargado nuestro certificado CA, abre un terminal y obtén la huella digital del certificado que ha descargado escribiendo lo siguiente:

 openssl x509 -in ~/Downloads/ca.crt -fingerprint -sha256 -noout | \
         cut -d= -f2 | tr -d :

donde se debe sustituir ~/Downloads/ca.crt por la ruta del certificado CA que se acaba de descargar. Ahora sólo tienes que realizar una consulta de DNSSEC para obtener la huella digital SHA256 del certificado de una fuente verificada independientemente. Si tiene una versión bastante reciente del programa de dig, por lo menos 9.8.3, es necesario ejecutar el siguiente comando:

 dig +short +dnssec tlsa _443._tcp.autistici.org @127.0.0.1 | awk '/^0/ {print $4 $5}'

En las versiones anteriores de dig, utilice este comando:

 dig +short +dnssec type52 _443._tcp.autistici.org @127.0.0.1 | \
         awk '$2==35 {print $3, $4}' | cut -c7- | tr -d ' '

Si la salida de los dos comandos (openssl y dig) coinciden, el certificado que ha descargado es válido y se puede proceder a instalarlo.

Compruebe el certificado en Windows

En primer lugar es necesario instalar Win32OpenSSL, una suite de herramientas de software libre para la gestión de certificados y el Domain Information Groper (DIG), una herramienta de código abierto que te permite realizar consultas DNS.

Una vez que hayas instalado el software, abra una línea de comandos y escriba lo siguiente desde el directorio bin de la instalación de OpenSSL:

  openssl.exe x509 -in C:\ca.crt -fingerprint -sha256 -noout

donde se debe sustituir C:\ca.crt por la ruta del certificado que ha descargado. Guarde la salida del comando. A continuación, realice la consulta DNSSEC utilizando el comando dig (de nuevo, escriba esto en un terminal de la ubicación en la que instaló dig):

  dig.exe +short +dnssec tlsa _443._tcp.autistici.org @127.0.0.1

La salida del comando se verá así:

2 0 1 0620D0EA76805CACE2D7B8A8C1DEEBA67332D252A4F3F71165FD83B6 9DADDBD5
TLSA 7 4 9600 20130805044630 20130706044630 24242 autistici.org. ...

Obtener la cuarta y la quinta columna de la primera línea de salida y unirlos (en el ejemplo, 0620D0EA76805CACE2D7B8A8C1DEEBA67332D252A4F3F71165FD83B69DADDBD5). Esta secuencia debe ser igual a la salida del comando anterior una vez que se eliminan los dos puntos de la misma. Si es el caso, usted ha descargado un certificado válido y se puede proceder a instalarlo.

PGP

Otra alternativa consiste en verificar el certificado de CA directamente utilizando PGP. Si de alguna manera se las arregla para establecer la confianza con la clave PGP de info@autistici.org, se puede descargar de la firma para el archivo de certificado CA (ca.crt) aquí:

ca.crt.sig

Para verificarlo use gpg:

  gpg --verify ca.crt.sig ca.crt