Skip to content

¿Qué es una PKI, y explícame cómo un cliente valida el certificado de un servidor?

Respuesta breve

Una PKI es el sistema de CA, certificados y políticas que vincula las claves públicas con las identidades. Para validar un certificado de servidor, un cliente construye una cadena hasta una raíz de confianza, verifica cada firma, comprueba las fechas de validez y el nombre de host, confirma el uso de la clave, y comprueba la revocación mediante CRL u OCSP.

Una infraestructura de clave pública (PKI) es el marco de confianza que te permite creer que una clave pública pertenece realmente a quien dice pertenecer. Sin ella, la criptografía de clave pública es inútil frente a un atacante activo que simplemente puede entregarte su propia clave.

Los componentes

  • Las autoridades de certificación (CA) avalan identidades firmando certificados. Las CA raíz están en la cima; sus certificados vienen preinstalados en sistemas operativos y navegadores como anclas de confianza.
  • Las CA intermedias están firmadas por las raíces y realizan la emisión del día a día, de modo que la clave privada de la raíz puede permanecer fuera de línea.
  • Los certificados X.509 vinculan una clave pública con un sujeto (como un nombre de dominio) más metadatos: fechas de validez, uso de la clave y la firma del emisor.
  • Los servicios de revocación (CRL y OCSP) permiten a una CA decir «este certificado ya no es válido» antes de que expire.

Cómo funciona realmente la validación

Cuando un cliente recibe un certificado de servidor:

  1. Construye la cadena desde el certificado del servidor, subiendo por los intermedios que haya, hasta una raíz en la que ya confía.
  2. Verifica cada firma de la cadena — cada certificado debe estar firmado correctamente por el que está por encima.
  3. Comprueba las fechas de validez — no antes, no después.
  4. Coteja el nombre de host con los Subject Alternative Names del certificado. Un certificado válido para el dominio equivocado sigue siendo un fallo.
  5. Confirma el uso de la clave y las restricciones — p. ej., que el certificado está permitido para autenticación de servidor.
  6. Comprueba la revocación mediante CRL u OCSP (a menudo OCSP stapling, donde el servidor presenta un estado firmado reciente).

Si cada paso pasa, el cliente confía en la clave y continúa.

Qué buscan los entrevistadores

Muchos candidatos se quedan en «comprueba la CA». La buena respuesta nombra la cadena de confianza hasta un ancla raíz, la verificación de firma en cada eslabón, y las comprobaciones que se olvidan fácilmente: la coincidencia del nombre de host y la revocación.

Posibles preguntas de seguimiento

  • ¿Cuál es la diferencia entre una CA raíz y una CA intermedia?
  • ¿Cómo mejora el OCSP stapling al OCSP normal?
  • ¿Qué ocurre si un certificado es autofirmado?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.