Autoridad Certificadora (CA)
Así como en la vida real existen órganos emisores de documentos de valor a nivel nacional e internacional, como por ejemplo:
- certificados bancarios (emitidos por los Bancos),
- de documento de identificación nacional como las cédulas de identidad (emitidas por el Tribunal Supremo de Elecciones),
- números de identificación fiscal, número de identificación tributaria ó cédulas jurídicas de empresas (emitidas por el Registro Nacional ó Ministerio de Hacienda),
- y finalmente, los pasaportes (emitidos por el gobierno de cada país, que son aceptados internacionalmente, como por ejemplo la Dirección General de Migración y Extranjería en el caso de Costa Rica ó el Departamento de Estado en el caso de EE. UU.
existen -para los certificados de seguridad SSL y certificados code-signing- otras autoridades certificadoras equivalentes a las antes mencionadas, estas autoridades certificadoras ó CA (por sus siglas en inglés: Certificate Autority), son las encargadas de emitir los certificados (.CRT) a nivel internacional.
CAs más reconocidas internacionalmente:
La más antigua en el mercado y la que nunca ha sido hackeada.
Líder en Latinoamérica, Europa y Asia.
Fundada en 1996 como una Autoridad Certificadora para web, es una subsidiaria de GMO CLOUD K.K. (empresa de origen japonés), ofrecen en la actualidad varios servicios exclusivamente del área de seguridad como PKI y Administración de Acceso e Identidad (como el Single Sign-On ➟ SSO). En el año 2012 lanzó un validador de certificados que ayuda a los administradores de estos, validar si los mismos han sido instalados correctamente, caso contrario, les indica paso a paso cómo corregir los errores.
Es una de las pocas CA que mantiene soporte dual para IPv4 e IPv6 para los CRL y OCSP (mantadorio en Costa Rica por decreto presidencial), además es una de las pocas que ofrece el algoritmo de compresión para dispositivos móviles (ECC) a parte de los tradicionales RSA y DSA (otra CA que cumple con esto es Symantec con su certificado SecureSitePro con EV, pero GlobalSign lo hace con TODOS sus certificados).
Respecto al tema de IPv6, fue la primer CA que ofreció y que certificó ser "compliant" con este tema de revocación (CRL) y validación (OCSP) de servicio y además, fue el primero en mejorar la velocidad de revocación (carga de la página) para páginas HTTPS.
Citas: Yahoo Financial News, Blog independiente, GlobalSign, CAB|Forum, CloudFlare, MIT Blog.
NOTA: una llave de 256-bits ECC es equivalente a una llave RSA 3072-bits.
En el 2014, GobalSign adquiere a Helsinki-based Ubisecure Solutions, Inc., empresa líder en el desarrollo de administración de acceso e identidades en toda Europa, lo cual representó un gran paso para esta CA.
GlobalSign es miembro fundador del CA|Browser Forum (consorcio voluntario -de autoridades certificadoras, vendedores de software para navegadores de Internet, sistemas operativos y otras aplicaciones habilitadas para PKI- que promulga las guías de la industria para la administración que regulan la emisión y administración de certificados digitales X.509 v3 así como las cadenas de confianza de insertadas en dichas aplicaciones) y del Kantara Initiativey del Certificate Authority Security Council).
(dejó de ser una CA desde Octubre del 2017 debido a fallos en su plataforma, buscó compradores y pese a que nadie quería una plataforma de mala reputación, DigiCert aceptó la compra, sin embargo, DigiCert ha tenido problemas en el 2018 y 2019 para normalizar varios de sus certificados)
Fundada en 1982 en Sunnyvale, California, Estados Unidaos de Norteamérica y con sede central en Mountain View, Califonia, EE. UU, Symantec
es la Autoridad Certificadora (CA) que ha tenido mayor crecimiento en cuanto al tipo de servicios y productos relacionados al área de las Tecnologías de Información, pues no sólo cubre los certificados SSL y Code-Signing sino que también brinda otros servicios como:
- antivirus,
- firewall,
- soluciones de respaldo (backup)
- y más.
Con el pasar del tiempo, Symantec adquirió a los pioneros del área SSL como:
- GeoTrust - www.GeoTrust.com,
- Thawte - www.Thawte.com,
- RapidSSL - www.RapidSSL.com
(estas 3 últimas con sede en Ciudad del Cabo, Sur África) y en 2010 adquiere la:
- sub-división de VeriSign dedicada al SSL (los top del mercado en los 90's) para abarcar un mayor mercado.
(VeriSign es la empresa que se encarga de la administración de los dominios .com, .net así como de dar mantenimiento a algunas zonas Root de DNS a nivel mundial.)
|
|
|
|
(Symantec absorbió la división de VeriSign SSL en el año 2010
y en Octubre del 2017, es absorbida por DigiCert
) |
Única CA que acepta comprar el negocio de Symantec y lo formaliza en Octubre del 2017, tras los problemas reportados por Google a nivel internacional y los fallos en la plataforma de emisión... en el 2018 y 2019, DigiCert enfrenta un gran trabajo para normalizar todos los problemas heredados de la CA adquirida.
Fundada en el 2003 con oficinas centrales en Lehi, Utah, EE. UU., es una Autoridad Certificadora que nace enfocada en los SSL X.509, también es miembro fundador del del CA|Browser Forum (consorcio voluntario -de autoridades certificadoras, vendedores de software para navegadores de Internet, sistemas operativos y otras aplicaciones habilitadas para PKI- que promulga las guías de la industria para la administración que regulan la emisión y administración de certificados digitales X.509 v3 así como las cadenas de confianza de insertadas en dichas aplicaciones) y además es uno de los CA más grandes que NO emiten certificados básicos (DV), su foco está en los OV y los EV.
NOTA: DigiCert Inc., no tiene relación con Digicert Sdn. Bhd, una CA originaria de Malasia la cual emite certificados con llaves débiles y que su confianza ha sido revocada por varios navegadores (browsers).
Es la CA con más problemas de fraudes, en Octubre del 2017 es vendida a Francisco Partners (de EE. UU.) y para el 2018 se re-lanza como: SECTIGO (www.comodoca.com, www.sectigo.com).
Fundada en 1988 en el Reino Unido, la empresa fue re-ubicada en Clifton, New Jersey, EE. UU. en el 2004. Ofrece varias soluciones de seguridad entre el grupo de empresas del grupo, entre ellas:
- Certificados SSL (por Comodo Inc. Lmtd, ubicada en Manchester, Reino Unido)
- Antivirus para MS-Windows, Linux y MacOS X (por Comodo Security Solutions, Inc., ubicada en Clifton, NJ, EE. UU.)
- Firewall, HIPS, UTM, BackUp OnLine
- Mobile Security (para Android)
- Navegador Web (Comod Dragon)
- Servicios administrados de DNS (por DNS.com, ubicada en Louisville, Kentucky, EE. UU.)
- Y otras soluciones de protección web
Comodo Group Inc. es miembro de:
-
Certificate Authority Security Council (CASC) ➟ miembro fundador en Febrero 2013
- Common Computing Security Standards Forum(CCSF): miembro fundado en 2009
- CA/Browser Forum: miembro fundador en el 2005, consorcio voluntario -de autoridades certificadoras, vendedores de software para navegadores de Internet, sistemas operativos y otras aplicaciones habilitadas para PKI- que promulga las guías de la industria para la administración que regulan la emisión y administración de certificados digitales X.509 v3 así como las cadenas de confianza de insertadas en dichas aplicaciones) y del Kantara Initiativey del Certificate Authority Security Council.
Como nota adicional, COMODO sufrió en el 15 de marzo del 2011, un ataque desde una dirección IP ubicada en Tehran, Irán (212.95.136.18) y se confirmó que 7 certificados fueron emitidos en ese momento. Dichos certificados ya fueron revocados y todo volvió a la normalidad. Microsoft lanzó unas actualizaciones al respecto para evitar problemas de spoofing en los sistemas basados en MS-Windows (Microsoft Security Advisory (2524375) y Microsoft Security Advisory: Fraudulent Digital Certificates could allow spoofing)
Fundada en el 21 de noviembre del 2002, The SSL Company (formalmente Secure Sockets Laboratories, LLC.) con oficinas centrales en 2617 West Holcombe Boulevard 286c, Houston, Texas, EE. UU., se convierte en una CA de opciones atractivas en el mercado de Certificados de Seguridad SSL.
Ofrecen certificados SSL básicos en forma GRATIS por 90 días a diferencia de otros competidores que lo hacen sólo por 30 días..
Fundada el 24 de octubre de 1988 en Los Ángeles, California, EE. UU., TrendMicro es una empresa con oficinas centrales en Tokio, Japón.
Ofrecen una serie de productos, entre ellos:
- Certificados SSL ilimitados para empresas
- Antivirus para plataformas MS-Windows, MacOS, Android y otros.
- Firewall de última generación, detector de intrusos, DeepDiscovery
- On-Line BackUp
- Hardware
- Y otros...
En 1992 absorbe una firma japonesa para crear Trend Micro Devices y establece operaciones en Japón, después de haber tenido un acuerdo con Intel para crear un software de antivirus que sería distribuido bajo la marca de Intel (LANDesk) y posteriormente se hace un acuerdo entre Novell y estos otros para que en los siguientes 2 años se mantuviera un producto similar. En 2005 Trend Micro adquiere a Braintree (empresa de Massachusetts, EE. UU. desarrolladora de antispyware) y posteriormente a Kelkea (una empresa de California, EE. UU., desarrolladora de una solución AntiSpam) con el fin de unificar estas tecnologías. En 2007 adquiere HijackThis y así continúa por otros años hasta que en 2012 adquiere a Marlborough (otra empresa de Massachusetts, EE. UU.), la cual se dedicaba al tema de certificados SSL.
El enfoque de TrendMicro en el tema de certificados es para el nivel corporativo donde se busca la administración de varios certificados de validación organización y validación extendida.
|
|