Modelo de confianza

Fondo

En una infraestructura de clave pública (PKI) web típica, millones de clientes de todo el mundo confían en un conjunto de autoridades de certificación (CAs) independientes para afirmar identidades (como nombres de dominio) en certificados. Como parte de sus responsabilidades, las CAs se comprometen a emitir certificados solo cuando hayan validado de forma independiente la identidad que figura en ellos. Por ejemplo, una AC suele tener que verificar que la persona que solicita un certificado para el nombre de dominio example.com controla realmente dicho dominio antes de emitirle un certificado. Como esas CAs pueden emitir certificados para millones de clientes con los que no tienen una relación directa, solo pueden afirmar identidades que se puedan verificar públicamente. Esas autoridades de certificación se limitan a determinados procesos de verificación bien definidos que se aplican de forma coherente en toda la infraestructura de clave pública web.

A diferencia de la infraestructura de clave pública web, una infraestructura de clave pública privada suele implicar una jerarquía de autoridad de certificación más pequeña, que gestiona directamente una organización. Una PKI privada envía certificados solo a los clientes que confían en la organización para que tenga los controles adecuados (por ejemplo, las máquinas propiedad de esa organización). Como los administradores de las CAs suelen tener sus propias formas de validar las identidades para las que emiten certificados (por ejemplo, emitir certificados a sus propios empleados), no están limitados por los mismos requisitos que la infraestructura de clave pública web. Esta flexibilidad es una de las principales ventajas de la PKI privada frente a la PKI web. Una infraestructura de clave pública privada permite nuevos casos prácticos, como proteger sitios web internos con nombres de dominio cortos sin necesidad de tener la propiedad exclusiva de esos nombres o codificar formatos de identidades alternativas (como IDs de SPIFFE) en un certificado.

El objetivo del Servicio de Autoridades de Certificación es simplificar el proceso de gestión de la infraestructura de clave pública privada, ya que te permite crear y gestionar fácilmente autoridades de certificación. Por lo tanto, el servicio de AC no define cómo se deben validar las identidades de los certificados. Sin embargo, el servicio de CA proporciona un conjunto sólido de controles de políticas que permite configurar los grupos de CAs de forma pormenorizada. Para obtener más información, consulta Controles de políticas.

Siguientes pasos