Información y decisiones sobre certificados

Esta sección describe cómo utilizar varias de las ventanas mostradas por el administrador de certificados. La información adicional proporcionada aquí aparece al hacer clic en el botón de ayuda de una de esas ventanas.

Visor de certificados

El visor de certificados muestra información sobre un certificado que seleccione en alguna de las pestañas del administrador de certificados. La pestaña "General" resume información acerca de quién emitió el certificado, su estado de verificación, para qué puede ser usado el certificado, y similares. La pestaña "Detalles" proporciona todos los detalles del contenido del certificado.

Si no está viendo el visor de certificados, siga estos pasos:

1. Abra el menú &brandShortName;Editar y elija "Preferencias".
2. Dentro de la categoría "Privacidad y seguridad", haga clic en Certificados (si no se muestra ninguna sub-categoría, haga doble clic en "Privacidad y seguridad" para expandir la lista).
3. Haga clic en "Administrar certificados".
4. Haga clic en la pestaña para elegir el tipo de certificado que desee ver.
5. Seleccione el certificado cuyos detalles desee ver.
6. Haga clic en "Ver".

La pestaña "General"

Cuando abra el visor de certificados, la pestaña General mostrará varios tipos de información sobre el certificado seleccionado:

• Este certificado ha sido comprobado para los siguientes usos: vea Comprobación de certificados para una explicación de cómo el administrador de certificados comprueba los certificados. Los usos pueden ser:
  • Certificado SSL de cliente: certificado utilizado para identificarle en sitios web.
  • Certificado SSL de servidor: certificado utilizado para identificar a un servidor web ante navegadores.
  • Certificado de firma de correo: certificado utilizado para identificarle a la hora de firmar digitalmente mensajes de correo electrónico.
  • Certificado de receptor de mensaje de correo: certificado utilizado para identificar a otra persona, por ejemplo, para que pueda enviarle un mensaje de correo cifrado.
  • Certificado de estado de contestador: certificado para identificar el estado de conexión de un contestatario que utilice OCSP (Online Certificate Status Protocol) para comprobar la validez de los certificados. Para más información sobre OCSP, vea Ajustes de certificados.
  • Certificado SSL de autoridad: certificado utilizado para identificar a una autoridad, es decir, un servicio que expide certificados para que sean utilizados como identificación en redes informáticas.
• Expedido a: resume la siguiente información sobre el certificado:
  • Nombre común: nombre de la persona o la entidad a la que identifica el certificado.
  • Organización: nombre de la organización a la que pertenece la entidad (por ejemplo, el nombre de una empresa).
  • Unidad de la organización: nombre de la unidad de la organización a la que pertenece la entidad (por ejemplo, departamento de contabilidad).
  • Número de serie: número de serie del certificado.
• Expedido por: resume la información (de forma similar a la mostrada en Expedido a; ver arriba) sobre la autoridad de certificación (CA) que expidió el certificado.
• Validez: indica el período de validez del certificado.
• Huella digital: muestra las huellas digitales del certificado. Una huella digital es un número único generado mediante la aplicación de una función matemática a los contenidos del certificado. La huella digital de un certificado puede ser utilizada para comprobar que el certificado no haya sido alterado.

La pestaña "Detalles"

Haga clic en la pestaña "Detalles" de la parte superior del visor de certificados para ver información más detallada sobre el certificado seleccionado. Para examinar la información de cualquier certificado en la sección "Jerarquía de certificados", seleccione el campo que desee examinar y mire en "Valor del campo":

• Jerarquía de certificados: muestra la cadena de certificados, con los certificados que seleccionó originalmente en la parte inferior. Una cadena de certificados es una serie jerárquica de certificados firmados por sucesivas autoridades de certificación (CA). Un certificado de CA identifica una autoridad de certificación y es utilizado para firmar los certificados expedidos por dicha autoridad. Un certificado de CA puede a su vez ser firmado por el certificado de CA de una CA superior y así sucesivamente hasta una CA raíz.
• Campos del certificado: muestra los campos del certificado seleccionado en "Jerarquía de certificados"
• Valor del campo: muestra el valor el campo seleccionado en "Campos del certificado".

El visor de certificados, siempre que puede, usa tipografías básicas ANSI para mostrar los datos en un formato legible para el ser humano. En los campos cuyo contenido no pueda interpretar el administrador de certificados, éste mostrará directamente los valores contenidos en el certificado.

Elegir dispositivo de seguridad

Un dispositivo de seguridad (a veces llamado "token") es un dispositivo de hardware o software, que proporciona servicios criptográficos tales como cifrado y descifrado y almacena certificados y claves. La ventana "Elegir dispositivo de seguridad" aparece cuando el administrador de certificados necesita ayuda para decidir qué dispositivo de seguridad utilizar al importar un certificado o realizar una operación criptográfica, como puede ser generar claves para un nuevo certificado. Dicha ventana le permite seleccionar uno, dos o más dispositivos que el administrador de certificados haya detectado en su máquina.

Una tarjeta inteligente ("smart card") es un ejemplo de dispositivo de seguridad. Por ejemplo, si un lector de tarjetas inteligentes está conectado a su ordenador y tiene insertada una tarjeta, el nombre de dicha tarjeta será mostrado en el menú desplegable. En su caso, debería seleccionar en el menú desplegable el nombre de la tarjeta para que el administrador de certificados sepá que desea utilizarla.

El administrador de certificados también trae por defecto su propio dispositivo de seguridad integrado, que siempre puede ser utilizado, independientemente de si hay o no otros dispositivos.

Copia de la clave de cifrado

Las Autoridades de certificación (CA) que expiden certificados separados de firma y cifrado de correo normalmente hacen copias de seguridad de su clave de cifrado privada durante el proceso de registro del certificado.

El cuadro de diálogo "Copia de la clave de cifrado" le permite dar el visto bueno a dicha copia o cancelar la petición del certificado. Una CA que haya guardado una copia de seguridad de su clave de cifrado tendría la posibilidad de descifrar cualquier mensaje que usted reciba y que estuviese cifrado con su correspondiente clave pública.

Puede llevar a cabo las siguientes acciones en el cuadro de diálogo "Copia de la clave de cifrado":

• Ver certificado: para ver el certificado que identifica a la CA que solicita la copia de seguridad.
  
• Aceptar: si confía en la CA que identifica el certificado para descifrar mensajes, haga clic aquí.

  Si no está seguro de si confiar en la CA que solicita la copia de seguridad, consulte con su administrador.

• Cancelar: si no confía en la CA que solicita la copia de seguridad, no le solicite ningún certificado. Haga clic en "Cancelar" para detener tanto el proceso de copia, como el de solicitud de certificado.

Después de que su CA haga una copia de seguridad de la clave de cifrado, podrá utilizar dicha clave para acceder a su correo cifrado, incluso si pierde su contrasea o su propia copia de la clave. Si no hubiese ninguna copia de seguridad y usted perdiera su contraseña o la clave, no habría ninguna forma de leer los mensajes de correo que hubiesen sido cifrados con dicha clave.

Copia de seguridad de certificados

Cuando reciba un certificado, haga una copia de seguridad de él y de su clave privada y almacénela en un sitio seguro. Por ejemplo, puede copiarlo a un disquete y guardarlo bajo llave. Así, en caso de problemas con el disco duro, podría restaurar fácilmente el certificado.

Perder su certificado, en el mejor de lo casos, sería un inconveniente, pudiendo llegar a ser catastrófico, dependiendo del uso que le diese al certificado. Por ejemplo:

• Si pierde un certificado que le identifica ante sitios web importantes, no podrá volver a acceder a ellos hasta que obtenga un certificado nuevo.
• Si pierde el certificado que utilizaba para cifrar mensajes, no podrá leer ninguno de sus mensajes cifrados, tanto los que haya enviado, como los que haya recibido. En este caso, si no puede obtener una copia de seguridad de la clave de cifrado privada asociada al certificado, ya no podrá leer ninguno de los mensajes cifrados con dicha clave.

Como con cualquier otra información de valor, se debería hacer una copia de seguridad de los certificados, para evitar problemas en el futuro. Hágalo ahora para que luego no se le olvide.

Solicitud de identificación de usuario

Algunos sitios web requieren que se identifique con un certificado en vez de con un nombre de usuario y una contraseña, ya que los certificados son una forma más segura de identificación. Esté método de identificación a veces es llamado identificación de cliente.

Sin embargo, el administrador de certificados puede tener más de un certificado para estos fines. En tal caso, mostrará el cuadro "Solicitud de identificación de usuario", que muestra dos tipos de información:

Este sitio ha solicitado que se identifique con un certificado: en esta sección del cuadro aparece la siguiente información:

• Nombre de "host": nombre del servidor que solicita la identificación, utilizado como parte de su dirección URL. Por ejemplo, el nombre de "host" para la página de Netscape es home.netscape.com.
• Organización: nombre de la organización a la que pertenece el sitio web.
• Expedido por: nombre de la autoridad de certificación (CA) que ha expedido el certificado.

Elija un certificado para presentar como identificación: los certificados que tenga para identificarse ante un sitio web son mostrados en la lista desplegable de esta sección del cuadro de diálogo. Elija el certificado que tenga más probabilidades de ser reconocido por el sitios web que desee visitar.

Para ayudarle a decidir, se muestran los siguientes datos del certificado seleccionado:

• Expedido a: muestra información sobre la persona a la cual identifica el certificado (por ejemplo, nombre y dirección de correo) y el número de serie y las fechas de validez del certificado.
• Expedido por: resume la información de la CA que ha expedido el certificado, tal como su nombre, dirección y estado.

Nueva autoridad de certificación

Los certificados del administrador de certificados, almacenados en su ordenador o en un dispositivo de seguridad externo, tal como una tarjeta inteligente ("smart card"), incluyen a los certificados que identifican a las autoridades de certificación (CA). Para poder reconocer a cualquier otro certificado, el administrador de certificados ha de tener los certificados de las CA que han expedido o autorizado esos certificados.

Cuando usted decide confiar en una CA, el administrador de certificados descarga el certificado de ella, pudiendo después reconocer los certificados que haya expedido esa CA.

Antes de descargar el nuevo certificado de CA, el administrador de certificados le permite especificar los fines del certificado en los que confiará, cuando no todos. Puede elegir cualquiera de las siguientes opciones:

• Confiar en esta CA para identificar sitios web: los certificados de sitios web en ciertos sitios web, como los que manejan transacciones financieras, pueden ser muy importantes y una identificación inadecuada o falsa podría tener consecuencias negativas.
• Confiar en esta CA para identificar usuarios de correo electrónico: si tiene intención de enviar información confidencial cifrada a través del correo electrónico o si por cualquier otra razón la identificación de usuarios de correo es importante para usted, debería considerar cuidadosamente los procedimientos de la CA para identificar a los propietarios de los certificados y si son adecuados para sus propósitos antes de seleccionar esta opción.
• Confiar en esta CA para identificar desarrolladores de software: si elige esta opción significa que confía en los certificados que la CA expide para identificar el origen de "applets" Java y de "scripts" JavaScript que soliciten acceso especial a su ordenador, tal como la potestad de modificar archivos. Dado que este tipo de privilegios pueden ser utilizados con fines malignos, como la eliminación de datos de su disco duro, tenga mucho cuidado con elegir esta opción, excepto si está totalmente seguro de que desea confiar en la CA para este propósito.

Antes de que decida confiar en una nueva CA, asegúrese de que sabe quién la maneja y de que sus políticas y procedimientos se corresponden con el tipo de certificados que expide. Por ejemplo, si la CA expide certificados para identificar sitios web que usted utilice para hacer transacciones financieras, asegúrese de que está satisfecho con el nivel de seguridad que proporciona la CA.

• Ver: haga clic en este botón para ver el certificado de CA que está a punto de descargar. Si decide que no desea descargarlo, haga clic en "Cancelar".

Certificados de sitios web

Cuando intenta ir a un sitio web que admite el uso de SSL para la identificación y el cifrado, puede encontrarse una página de error. Hay dos tipos, una llamada Conexión segura fallida y una llamada Conexión no confiable.

Página de conexión segura fallida

En el caso de que haya desactivado el protocolo SSL (p.e. a través de las opciones SSL/TLS) o el sitio web al que está accediendo use una versión más antigua e insegura del protocolo SSL, entonces verá una página titulada "Conexión segura fallida". Esa página contiene cierta información técnica básica (incluyendo el código de error que identifica inequívocamente el tipo de problema que detectó &brandShortName; con el sitio web) y un botón Reintentar que provocará una recarga de página.

Página de conexión no confiable

Si SSL está activado entonces la página de error que se le mostrará se titulará "No se confía en esta conexión". Hay muchas razones diferentes por las que una conexión puede parecer no confiable. Aquí hay algunas de las más comunes:

• el certificado del sitio web ya no es válido (ha caducado)
• el certificado del sitio web aún no es válido
• el certificado del sitio web sólo es válido para otro sitio web (discrepancia en el nombre de dominio)
• el certificado del sitio web está auto-firmado (y, por tanto, la identidad del sitio web no puede ser verificada)
• no se confía en el emisor del certificado (&brandShortName; no puede verificar la identidad del sitio web porque no reconoce la autoridad certificadora (CA) que emitió el certificado del sitio web)

La página mostrada en los casos anteriores está pensada para ayudarle a comprender por qué &brandShortName; no pudo establecer una conexión segura con el sitio web. Comienza diciéndole que la identidad del sitio web no pudo ser verificada, luego le ofrece abandonar la página haciendo clic en el botón Esto tiene mala pinta, mejor llévame a mi página de inicio. Si no está seguro de qué hacer se recomienda que siga este consejo.

Si quiere saber algo más sobre el problema concreto puede expandir la sección correspondiente haciendo clic en el galón que hay delante de Detalles técnicos. Esa sección también contiene el código de error que identifica inequívocamente el tipo de problema que ha detectado &brandShortName; con el sitio web.

Añadir una excepción de seguridad

La sección Entiendo los riesgos de la página Conexión no confiable le permite ordenar a &brandShortName; que ignore explícitamente los controles de seguridad para este sitio web añadiendo una excepción. Si expande la sección haciendo clic en el galón delante de ella, verá un botón Añadir excepción que le llevará a un diálogo que le permitirá recuperar y visualizar el certificado del sitio web y, opcionalmente, añadir una excepción de seguridad para él (ya sea permanente o sólo para la sesión actual). Esas excepciones pueden administrarse a través de la pestaña Servidores del administrador de certificados.

Diálogo de conexión segura fallida

En los casos donde &brandShortName; no puede determinar la causa real del problema, se muestra un diálogo titulado "Conexión segura fallida" además de la página de conexión no confiable. Ese diálogo incluye un botón Ver certificado que le permite examinar el certificado del sitio web más en detalle.

Certificado caducado

Como una tarjeta de crédito, un permiso de conducción y muchas otras formas de identificación, un certificado es válido durante un cierto período de tiempo. Cuando caduca, el propietario ha de conseguir uno nuevo.

&brandShortName; le advierte cuando intenta visitar un sitio web cuyo certificado de servidor ha caducado. La primera cosa que debería hacer es asegurarse de que la fecha y hora mostrada en su ordenador es correcta. Si el reloj de su ordenador está fijado a una fecha posterior a la fecha de caducidad, &brandShortName; trata el certificado del sitio web como caducado.

Si la fecha de su ordenador es correcta, ha de decidir si confiar en dicho sitio web. La decisión dependerá de qué quería hacer en ese sitio web y qué sabe de él. La mayoría de sitios comerciales se aseguran de reemplazar sus certificados antes de que caduquen. Si elige continuar necesitará añadir una excepción de seguridad.

Certificado aún no válido

Como una tarjeta de crédito, un permiso de conducción y muchas otras formas de identificación, un certificado es válido durante un cierto período de tiempo.

&brandShortName; le avisará cuando intente visitar un sitio web en el que el período de validez del certificado del servidor todavía no haya comenzado. La primera cosa que ha de hacer es asegurarse de que la fecha y la hora de su ordenador son correctas. Si no lo son, el administrador de certificados podría considerar el certificado como todavía no válido incluso si lo es.

Si la fecha de su ordenador es correcta, ha de decidir si confiar en dicho sitio web. La decisión dependerá de qué quería hacer en ese sitio web y qué sabe de él. La mayoría de sitios comerciales se aseguran de que el período de validez de sus certificados haya comenzado antes de empezar a utilizarlos. Si elige continuar necesitará añadir una excepción de seguridad.

Discrepancia del nombre de dominio

Un certificado de servidor especifica el nombre del servidor bajo la forma del nombre de dominio del sitio web. Por ejemplo, el nombre de dominio del sitio web de Netscape es home.netscape.com. Si el nombre de dominio de un certificado de servidor no coincide con el nombre real de dominio del sitio web, puede ser un indicio de que alguien esté intentando interceptar su comunicación con dicho sitio.

&brandShortName; le advierte cuando intenta visitar un sitio web si el dominio de su certificado de servidor no corresponde con el dominio del sitio web que está intentando visitar. La decisión de si confiar en dicho sitio web dependerá de qué quería hacer en él y qué sabe de él. La mayoría de sitios comerciales se asegurarán de que el nombre de dominio de sus certificados coincide con el nombre real del sitio web. Si elige continuar necesitará añadir una excepción de seguridad.

If you decide to accept the certificate anyway (either for this session or permanently), you should be cautious about what you do on the website, and you should treat any information you find there as potentially suspect.

Si decide aceptar el certificado (ya sea durante esta sesión o permanentemente), tenga precaución con cualquier cosa que haga durante su visita al sitio y considere sospechosa cualquier información que encuentre en él.