Cuando visitamos una pagina web segura, esas en las que nos aparece un candadito o bien alguna leyenda que nos dice que estamos visitando un página web segura en nuestro navegador, normalmente es porque esta web tiene su certificado firmado sobre uno de los certificados raíz instalados en nuestro navegador y es avalado por la autoridad certificadora de ese certificado raíz.
No solo es útil para entornos cliente servidor, como el caso de un navegador que se conecta a un servidor web. Pueden ser utilizados para firmar documentos, correo-e, o incluso cualquier archivo. La utilidad de firmar es para autenticar que un documento electrónico cualquiera ha sido enviado por quién dice que lo ha enviado y además para poder verificar su integridad, quiere decir que el mensaje no ha sido modificado tras haber sido firmado ni ha ocurrido una corrupción de datos durante su envío. También tiene la utilidad del cifrado, para poder ocultar el contenido de esta información para que solo pueda ser leída por las personas para las que ha sido escrita.
CACert.org es una autoridad certificadora gratuita, formada por la comunidad y para la comunidad. Existen muchas paginas web, sobre todo relacionadas con proyectos de software libre que usan certificados de CACert.org.
Para que nuestro navegador web acepte el certificado de una web segura como válido necesitamos el certificado raíz de la autoridad certificadora instalado en nuestro navegador. Por ejemplo, la propia CACertl.org usa certificados reconocidos por sí misma para su web, así que entramos con una conexión segura en Firefox 3.5 veremos ese molesto aviso de “¡Sácame de aquí!“.
Enlace a certificados raíz en CACert.org
Para que esto no nos ocurra, ni con ellos ni con ninguna web que use certificados emitidos por ellos debemos instalar el certificado raíz disponible en su la web de CACert.org. Pulsamos en el enlace root certificate y luego hacemos clic sobre uno de los enlaces a los certificados Class 1 PKI Key, hay 4 difrentes uno para Internet Explorer y otros en formatos .der, .pem y .txt. Podemos usar el formato .pem.
En la ventana que aparece escogemos que queremos usar este certificado para verificar páginas web. Podemos cambiar estas cosas más adelante en las opciones de Firefox. Y si ahora entramos de nuevo con una conexión segura en CACert.org, ya nos muestra la web como segura.
La configuración para su uso con correo electrónico requiere de unos cuantos pasos más a parte de la instalación del certificado correspondiente. En el mismo lugar en el que hemos instalado el certificado raíz para las páginas webs seguras, hemos de instalar el certificado Class 3 PKI Key que es el que usaremos para, por ejemplo, firmar o cifrar correo-e. Cuando el navegador pregunte para qué vamos a usar el certificado que estamos instalando, en este caso escogeremos la opción de correo electrónico.
Añadir o ver correos-e registrados.
Generar o ver certificados para correo-e.
Una vez registrado en CACert.org hay que generar un certificado para nuestro correo-e, al habernos registrado con un correo electrónico, podemos generar certificados para este. Sin embargo, si necesitásemos crear un certificado para otro correo-e diferente deberíamos añadirlo a nuestra cuenta de CACert.org previamente.
Pulsamos en Nuevo en el apartado Certificado de Cliente y seguimos los pasos, que son realmente sencillos, cuando pulsemos en el botón generar debemos esperar pacientemente unos segundos a que nos aparezca en pantalla un texto que nos confirma que se ha generado el certificado, junto con un enlace que debemos pulsar para instalarlo en el navegador.
Hay que tener en cuenta que este certificado no puede volver a ser descargado en otra máquina. La razón es que al crear el certificado se ha generado una clave privada en nuestro navegador, que se queda guardada en nuestra configuración de usuario de Firefox, así que lo primero que vamos a hacer es sacar una copia de seguridad de nuestros certificados de cliente o usuario para poder importarla después donde queramos. En las preferencias de Firefox: sección Avanzado, pestaña Cifrado, pulsamos en Ver certificados. En la nueva ventana: pestaña Sus certificados, pulsar botón Hacer copia de todo. Nos pedirá una clave para cifrar la copia de seguridad que va a hacer, y se nos pedirá cada vez que vayamos a importar nuestros certificados en otro Firefox, o en cualquier otro software.
Con esto ya tenemos todo lo necesario para poder enviar mensajes de correo electrónico firmados. Pero claro, necesitamos tener un software que soporte s/mime. Podemos usar clientes como Evolution de Gnome, Thunderbird de Mozilla o algún otro que os guste más. En mi caso uso primordialmente dos clientes de correo electrónico, que son Evolution y el interfaz web de GMail.
Para configurar Evolution vamos a Editar->Preferencias, y en la ventana nueva al izquierda abajo pulsamos en el botón Certificados, luego en la pestaña Autoridades, pulsamos el botón Importar y seleccionamos el fichero .pem con el certificado Class 3 PKI Key que nos hemos descargado previamente de la web de CACert.org aquí. Una vez importado el certificado raíz, debemos importar los nuestros, de los que hemos hecho copia de seguridad anteriormente. Pulsamos en la pestaña Sus certificados y luego en el botón Importar, seleccionamos el archivo que contiene nuestros certificados e introducimos la clave de seguridad que pusimos a la hora de hacer la copia de seguridad en Firefox. Una vez teniendo todo esto preparado podemos enviar mensajes firmados, por otro lado, si queremos enviar mensajes cifrados necesitamos haber cargado la clave pública del destinatario para poder cifrar el mensaje para él. En la misma ventana en la que estamos pulsamos en la pestaña Certificados de contactos y le damos al botón Importar. Más adelante explico como exportar nuestra clave pública de nuestro certificado para poder dársela alguien si fuera necesario.
Para enviar un mensaje cifrado solo hay que dar en Seguridad->Cifrar con S/MIME o Firmar con S/MIME para firmar. Escribir nuestro mensaje y enviarlo. Para el caso de enviar un mensaje cifrado necesitaremos disponer de la clave pública del destinatario, que, si anteriormente ya él nos ha enviado un mensaje firmado, nuestro gestor de correo-e se habrá encargado de almacenarlo.
Entradas (RSS)
A ver si lo pruebo con Mutt