Autenticación de servidor SSL
La autenticación de servidor SSL verifica que los sitios con los que se comunica son los que realmente dicen que son. La autenticación confirma una identidad del servidor mediante las técnicas estándares de cifrado de clave pública para garantizar que un certificado de servidor y un ID público son válidos y han sido emitidos por una entidad emisora de certificados listada en la lista de clientes de CA fiables.
La comunicación con servidores "fiables" que tienen certificados de autenticación emitidos por una entidad emisora de certificados es fundamental para establecer un entorno seguro. Los certificados de autenticación son documentos firmados digitalmente que ocultan la clave pública a la identidad del propietario de la clave privada. La autenticación se produce en el momento de la conexión y es independientemente de la aplicación o del protocolo de la aplicación. Con SSL, la autenticación se realiza mediante un intercambio de certificados, que son bloques de datos en un formato descrito en el estándar ITU-T X.509. Los certificados X.509 se emiten y firman digitalmente por parte de una entidad emisora de certificados.
- El cliente envía una solicitud de sesión SSL al Servidor1. En su lugar, la solicitud (y todo el tráfico subsiguiente) va a través del Servidor2. En lugar de reenviar la solicitud del Cliente al Servidor1, el Servidor2 responde directamente a la solicitud enviado sus propio certificado al Cliente.
- El Cliente recibe el certificado del Servidor2 y comprueba su lista de CA fiables. Puesto que el certificado del Servidor2 está firmado por el mismo certificado del Servidor1, el Cliente acepta el certificado y crea una sesión segura con Servidor2.
- Después de completar la sesión segura con el Cliente, el Servidor2 solicita y crea su propia sesión SSL con el Servidor1. A partir de este momento, el Cliente envía información cifrada al Servidor2. El Servidor2 descrifra la información, la vuelve a cifrar y, a continuación, la envía al Servidor1. Hace los mismo para la información que fluye en la dirección opuesta. El resultado es que el Servidor2 es capaz de leerlo e incluso cambiarlo, aunque todos los datos se cifren a medida que fluyen por Internet.
La autenticación SSL está diseñada para evitar este resultado. Cuando la autenticación de servidor está habilitada, el cliente, después de asegurarse de que el certificado del servidor es fiable, comprueba que el nombre de Internet en el certificado coincide con el nombre de Internet del servidor. Si coinciden, la negociación SSL continúa. Si no coinciden, la conexión finaliza.
- El cliente envía una solicitud de sesión SSL al Servidor1. La solicitud (y todo el tráfico subsiguiente) realmente va a través del Servidor2. En lugar de reenviar la solicitud del Cliente al Servidor1, el Servidor2 responde directamente a la solicitud del cliente enviando sus propio certificado al Cliente.
- El Cliente recibe el certificado del Servidor2 y comprueba su lista de CA fiables. Puesto que el certificado del Servidor2 está firmado por el mismo certificado del Servidor1, el Cliente acepta el certificado y crea una sesión segura con Servidor2.
- Después de completar la sesión segura, pero antes de que se hayan realmente enviado o recibido datos, el Cliente compara el nombre de Internet en el certificado que recibe con el nombre del servidor con el que desea comunicarse. Puesto que no coinciden, el Cliente sabe que la conexión no debería continuar y se desconecta.