Glosario

Last updated: December 30, 2018 | Ve toda la Documentación

ACME (Automatic Certificate Management Environment): Protocolo implementado por Let’s Encrypt. Software compatible con este protocolo que puede usar para comunicarse con Let’s Encrypt a la hora de solicitar un certificate. ACME drafts - Wikipedia
ACME Client: Un programa capaz de comunicarse con un servidor ACME para solicitar un certificate.
ACME Server: Un servidor compatible con ACME que puede generar certificates. El software , Boulder, es compatible con ACME, con algunas diferencias.
Authority Information Access (AIA): Una extensión del certificado utilizado para indicar a los agentes de usuario cómo obtener información sobre el emisor del certificado. Por lo general, especifica el URI OCSP y el URI del emisor.
Baseline Requirements (BRs): Un conjunto de requisitos técnicos y de políticas para las AC. Dado que todos los principales programas raíz incorporan los Requisitos de línea de base, la mayoría de los navegadores deben cumplir con estos requisitos.
Boulder: El software que implementa ACME, desarrollado y utilizado por Let’s Encrypt. GitHub
CA Issuers: Parte del campo AIA que contiene información sobre el emisor del certificado. Puede ser útil cuando el servidor web no proporciona una cadena de certificados confiable.
CA/Browser Forum: Un grupo voluntario de autoridades de certificación, proveedores de software de navegador de Internet, sistemas operativos y otras aplicaciones habilitadas para PKI. El CA/Browser Forum publica los Requisitos de línea de base. Let’s Encrypt es miembro del Foro de CA/Browser. Wikipedia
CAA (Certificate Authority Authorization): Un registro DNS que especifica qué CA pueden emitir un certificado para el nombre de dominio correspondiente. Los registros de CAA son verificados por las CA, no por los navegadores. Let’s Encrypt honors CAA records según lo requerido por los Baseline Requirements. - Wikipedia
Canonical Name record (CNAME): Una entrada DNS que asigna un nombre de dominio a otro, conocido como el Nombre canónico. Wikipedia
Certificate: Un archivo en un formato particular que contiene una clave pública y otros datos que describen cuándo usar esa clave pública. El tipo de certificado más común es un certificado de hoja. También hay certificados intermedios y raíz.
Certificate Authority (CA): Una organización que emite certificados. Let’s Encrypt, IdenTrust, Sectigo, and DigiCert son autoridades de certificación. Wikipedia
Certificate Policy (CP): Un conjunto de reglas que indica la aplicabilidad de un certificado a una comunidad o clase de aplicaciones en particular con requisitos de seguridad comunes. Los detalles específicos de la emisión se resumen en un CPS. ISRG Certificate Policy - RFC 3647 - Wikipedia
Certificate Revocation List (CRL): Un método para informar a agentes de usuario sobre el estado de revocación de un certificado. Esta es una lista de los números de serie de todos los certificados revocados de una CA determinada, firmada por esa CA. Wikipedia
Certificate Signing Request (CSR): Un archivo firmado que contiene la información necesaria requerida por CA para generar un certificado. La información relevante para Let’s Encrypt son Nombre común, Nombres alternativos de sujeto e Información de clave pública del sujeto. Por lo general, aplicaciones de cliente generan automáticamente la CSR para el usuario, aunque un proveedor o dispositivo de alojamiento web también puede generar un CSR. Wikipedia
Certificate Store: Un almacén de certificados contiene una lista de certificados raíz de confianza. Los sistemas operativos (como Windows, Android o Debian) y navegadores web (como Firefox) mantienen un almacén de certificados. Los navegadores sin uno dependen del almacén de certificados de los sistemas operativos. Los Certificados proporcionados por Let’s Encrypt son confiables por la mayoría de las tiendas de certificados.
Certificate Transparency (CT): Para mejorar la seguridad, los certificados (o precertificados) deben publicarse en los registros de transparencia de certificados: https://www.certificate-transparency.org/. Let’s Encrypt genera y publica precertificados e incluye en el certificado posterior una lista de SCT para el precertificado. Algunos navegadores, como Google Chrome, requieren la presencia de esta premisa verificable para validar el certificado. Wikipedia
Certificate Transparency Log: Un componente de Transparencia de certificado que acepta envíos de certificados y precertificados y los incorpora a una lista permanente, verificable y de acceso público.
Certificate chain: Una lista de certificados intermedios que ayudan a un agente de usuario a determinar que puede confiar en una entidad final o certificado de hoja, conectándolo a un certificado raíz en su almacén de certificados. Nota: la cadena no siempre es única y cuando un sitio web presenta una cadena de certificados que conduce a una raíz, el agente de usuario puede decidir usar otra cadena para validar el certificado. Wikipedia
Certificate extension: En los certificados, la mayoría de los campos están definidos por extensiones. Por ejemplo, Nombres alternativos de sujeto y AIA son extensiones. El mecanismo de extensión permite crear nuevos campos que no formaban parte del estándar original X.509.
Certificate issuer: El campo “Emisor” de un certificado describe qué emisor lo firmó. Por ejemplo, el campo Emisor de un certificado de entidad final Let’s Encrypt podría ser “Emisor: C = US, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3”. Comúnmente contiene campos como Nombre común, País y Organización. El campo Emisor siempre coincide con el campo Asunto de algún certificado. Para los certificados autofirmados como root, el Emisor es el mismo que el Asunto. El término “emisor” también puede usarse para indicar un certificado que emite otros certificados (un intermedio o raíz), o una organización que emite certificados.
Certificate subject: El campo “Asunto” de certificado indica de qué trata un certificado. Esto comúnmente contiene campos como Nombre común, País y Organización.
Certification Practice Statement (CPS): La declaración de las prácticas que una autoridad de certificación emplea en la emisión, gestión, revocación y renovación o re-codificación de certificados. ISRG Certification Practice Statement - RFC 3647 section 3.4 Wikipedia
Common Name (CN): Parte del Asunto de un certificado que describe de qué trata el certificado. Para raíces e intermedios es el nombre legible por humanos de la autoridad de certificación. Para certificados es uno de los nombres de dominio en el certificado. Nota: El nombre común está limitado a 63 caracteres. Es un método obsoleto para indicar un nombre de dominio al que se aplica el certificado, ya que los estándares actuales de Internet esperan que el software verifique solo los Nombres alternativos del sujeto para determinar la aplicabilidad de un certificado.
Critical extension: Un certificado puede contener extensiones marcadas como “críticas”. Esto significa que el software debe rechazar ese certificado a menos que el software comprenda cómo procesar esa extensión. Esto permite introducir nuevas extensiones que son importantes para la seguridad sin crear riesgos para el software anterior.
Cross Signing: Un certificado de emisión puede ser firmado por más de una raíz. Por ejemplo, Let’s Encrypt intermedios están firmados de forma cruzada por IdenTrust, porque en el lanzamiento la raíz Let’s Encrypt aún no era confiable para los almacenes de certificados. Técnicamente, se logra con dos certificados de emisión, utilizando el mismo Asunto y el mismo Key-pair, uno firmado por la clave privada de una raíz Let’s Encrypt y el otro firmado por la clave privada de la raíz de IdenTrust: /certificates. Wikipedia
DNS-based Authentication of Named Entities (DANE): Un mecanismo que utiliza DNS para indicar cómo verificar la autenticidad del certificado o la clave de cifrado presentada. Wikipedia
Domain Name System Security Extensions (DNSSEC): Un mecanismo para autenticar criptográficamente las respuestas DNS. DNSSEC requiere la implementación por parte del registrador del dominio y solucionadores recursivos para que surta efecto. La adopción es actualmente algo baja. Wikipedia
Domain-validated certificate: Un certificado donde el solicitante solo ha demostrado su control sobre el nombre de dominio (y no la identidad de la organización solicitante). Let’s Encrypt ofrece solo certificados DV (no OV o EV): FAQ - Wikipedia
ECDSA (Elliptic Curve Digital Signature Algorithm): Una variante del algoritmo de firma digital (DSA) que utiliza una curva elíptica criptografía . Wikipedia. Let’s Encrypt admite ECDSA para certificados de entidad final, pero aún no para toda la cadena: /upcoming-features
Ed25519: Un tipo específico de EdDSA, junto con Ed448.
EdDSA (Edwards-curve Digital Signature Algorithm): Un moderno sistema de firma de clave pública basado en curvas elípticas, diseñado para resolver varios problemas de implementación comunes con criptografía de curva elíptica. Las autoridades de certificación como Let’s Encrypt aún no pueden proporcionar certificados EdDSA. Wikipedia
Elliptic Curve Cryptography (ECC): Un tipo de criptografía de clave pública basada en curvas elípticas. ECC usa claves más pequeñas en comparación con la criptografía que no es de EC mientras proporciona seguridad equivalente. Cloudflare - Wikipedia
Extended Validation (EV): Un tipo de validación de certificado para el cual CA ha verificado la entidad legal que controla el sitio web. Contienen información sobre esa entidad. Los controles desde CA son más estrictos que para los certificados OV. Let’s Encrypt no ofrece certificados EV. Wikipedia
Fully qualified domain name (FQDN): El nombre de dominio completo de un sitio web. Por ejemplo, www.example.com es un FQDN.
HTTP Public Key Pinning (HPKP): Un mecanismo de seguridad que le pide a un navegador que requiera que la cadena de certificados de un sitio use ciertas claves públicas en futuras cargas. Chrome introdujo este mecanismo para proteger contra compromisos de CA, pero causó interrupciones en el sitio, lo que llevó a Chrome a desaprobarlo y eliminarlo. Wikipedia
IdenTrust: A Certificate Authority. IdenTrust tiene firma cruzada Let’s Encrypt intermediate certificates: /certificates. Wikipedia
Intermediate certificate: Un certificado firmado por una raíz u otro intermediario y capaz de firmar otros certificados. Se utilizan para firmar certificados manteniendo la clave privada del certificado raíz fuera de línea. Los intermedios se incluyen en cadenas de certificados. Wikipedia
Internationalized Domain Name (IDN): Nombre de dominio con caracteres distintos de a a z, 0 a 9 y el guión (-). Por ejemplo, pueden contener caracteres basados en el alfabeto árabe, chino, cirílico, tamil, hebreo o latino con signos diacríticos o ligaduras. La representación codificada de un dominio IDN comienza con xn -. Los IDN son compatibles con Let’s Encrypt: https://letsencrypt.org/2016/10/21/introducing-idn-support.html. Wikipedia - RFC 5890 - RFC 5891
Internationalized Domain Names for Applications (IDNA): Vea internationalized domain name.
Internet Security Research Group (ISRG): Es la organización que hay trás Let’s Encrypt: https://www.abetterinternet.org/about/. Wikipedia
Key-pair: Una combinación de una clave privada y una clave pública utilizada para firmar o cifrar. La clave pública se incrusta comúnmente en un certificado, mientras que la clave privada se almacena por sí sola y debe mantenerse en secreto. Se puede usar un par de claves para cifrar y descifrar, para firmar y verificar datos, o para negociar claves secundarias, según la aplicación. Wikipedia
Leaf certificate (end-entity certificate): Generalmente un certificado firmado por un intermedio, válido para un conjunto de dominios y no puede firmar otros certificados. Este es el tipo de certificado que solicitan clientes ACME y que usan servidores web.Wikipedia
Let's Encrypt (LE): The Certificate Authority operado por ISRG. Wikipedia
Mixed content: Cuando una página web HTTPS carga recursos secundarios (Javascript, CSS o imágenes) a través de HTTP. Algunos Navegadores pueden bloquear contenido o marcar la página como menos segura cuando hay contenido mixto: https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content . Para solucionar un problema de contenido mixto, un desarrollador web debe cambiar sus páginas para que todos los recursos usen URL HTTPS. Existen Herramientas para desarrolladores integrados en los navegadores se pueden usar para descubrir qué recursos están causando problemas de contenido mixto.
OCSP (Online Certificate Status Protocol): Un método para verificar el estado de revocación de un certificado. En otras palabras, una forma de verificar si una Autoridad de certificación indica que el certificado ya no debe considerarse válido, a pesar de que aún no se ha alcanzado su fecha de vencimiento. Esta solicitud puede crear problemas de privacidad porque permite que la autoridad de certificación y los proveedores de servicios de Internet observen directamente quién visita qué sitios. Wikipedia
OCSP Must-Staple: Una extensión del certificado que informa al navegador que el servidor web con ese certificado debe usar grapado OCSP. Se utiliza para exigir que el servidor web confirme un estado actualizado de revocación del certificado en cada conexión, haciendo que la revocación sea más confiable. Let’s Encrypt puede emitir certificados con la extensión OCSP Must-Staple a petición. Mozilla Security Blog RFC 7633
OCSP stapling: Método por el cuál un servidor web envíe un a un navegador una respuesta OCSP firmada por la Autoridad de certificación, por lo que el navegador en sí no necesita realizar una solicitud OCSP secundaria a la CA, lo que mejora la velocidad y la privacidad. También conocida como extensión de solicitud de estado de certificado TLS. Wikipedia Cloudflare
Object identifier (OID): Los OID son identificadores numéricos únicos estandarizados por la Unión Internacional de Telecomunicaciones (UIT) e ISO / IEC. Los OID se utilizan dentro de los certificados para definir extensiones, campos o afirmaciones de políticas. Los estándares de Internet y los documentos de Política de certificados y Declaración de práctica de certificación definen el uso de OID. Wikipedia
Organization Validation (OV): Certificados para los cuales CA ha verificado la entidad jurídica del Suscriptor. Contienen información sobre esa entidad. Let’s Encrypt no ofrece certificados OV. Wikipedia
PEM file (.pem): Un formato para la información criptográfica (originalmente especificado como parte de los estándares de Internet de privacidad mejorada para correo electrónico seguro). Un documento PEM puede representar información como una clave privada, una clave pública o un certificado digital. Estos archivos comienzan con “---- BEGIN” y luego con un tipo de datos. Wikipedia
Personal Information Exchange Files (.pfx): Un archivo que puede contener un certificado, su cadena hasta la raíz y la clave privada. Ver también https://en.wikipedia.org/wiki/PKCS_12. Microsoft Hardware Dev Center
Precertificate: Los precertificados son parte de la Transparencia de certificado. Un precertificado es una copia del certificado que una CA tiene la intención de emitir, con una extensión de veneno crítica agregada para evitar que el precertificado sea aceptado por el software en la naturaleza. Una CA envía un precertificado a registros de CT a cambio de SCTs. Dado que un precertificado no es idéntico a su certificado correspondiente, los registros de Transparencia de certificados pueden terminar conteniendo ambos. RFC 6962 Section 3.1
Public Suffix List (PSL): Una lista de Sufijos públicos mantenida por Mozilla, que indica qué dominios de Internet están disponibles para diferentes entidades para registrar subdominios. Por ejemplo, la lista indica que tanto com como co.uk son sufijos públicos a pesar de que co.uk no es un TLD. Los navegadores web utilizan la lista, entre otras cosas, para evitar que los sitios que probablemente sean operados por diferentes entidades compartan cookies web entre sí. Let’s Encrypt también usa la lista para los cálculos de límite de solicitudes: /docs/rate-limits. https://publicsuffix.org/
RSA: Un algoritmo de clave pública utilizado para el cifrado y para firmar digitalmente certificados. Wikipedia
Relying Party: La persona que depende de la información en un certificado. Por ejemplo, alguien que visita un sitio web HTTPS es una parte confiable.
Revocation: Un certificado es válido hasta su fecha de vencimiento, a menos que la CA indique que ha sido revocado. El certificado puede ser revocado por varias razones, como el compromiso de la clave privada. Los navegadores pueden verificar si un certificado ha sido revocado utilizando CRL, OCSP o métodos más nuevos como OneCRL and CRLSets. Nota: algunas situaciones, la revocación no funciona. /docs/revoking
Root Program: Las políticas que utiliza una organización para decidir qué certificados incluir en su almacén de certificados y establecer qué CA confían su software.
Root certificate: A self-signed certificado controlado por una autoridad de certificación, utilizado para firmar sus certificados intermedio e incluido en almacenes de certificados. Wikipedia
SSL (Secure Sockets Layer): Un nombre anterior para TLS, todavía de uso común.
Self-signed certificate: Un certificado firmado por su propia clave privada, con su Asunto igual a su Emisor. Los certificados autofirmados solo son confiables debido a arreglos previos realizados en el mundo físico, como la inclusión en una lista raíz confiable. Los certificados raíz están autofirmados. Wikipedia
Server Name Indication (SNI): Un campo que un agente de usuario envía a un servidor durante un protocolo de enlace TLS, especificando el nombre de dominio para conectarse . Esto permite que el servidor responda con el certificado apropiado cuando varios dominios están alojados detrás de la misma IP. El servidor web podría enviar un certificado diferente y mostrar contenido diferente, dependiendo del nombre que el cliente solicitó por SNI. SNI no está encriptado, pero sí un reemplazo experimental, ESNI Wikipedia
Signed Certificate Timestamp (SCT): Una promesa firmada y verificable de publicar un certificado, desde un Registro de transparencia del certificado. Los navegadores que aplican CT verifican la presencia de SCT en el certificado de un sitio o en el protocolo de enlace TLS, y se niegan a conectarse a sitios que no cumplen con su registro requisitos Esto aumenta la probabilidad de que se detecten certificados fraudulentos o inexactos. https://www.certificate-transparency.org/how-ct-works
Staging: Let’s Encrypt proporciona una API provisional para probar la solicitud de certificado sin afectar los límites de solicitudes. Los certificados generados por el entorno de ensayo no son de confianza pública. El entorno de ensayo debe usarse para fines de prueba, depuración y desarrollo de clientes ACME. /docs/staging-environment
Subject Alternative Name (SAN): Un campo de un certificado que indica para qué dominio(s) es válido el certificado. Reemplaza el uso del Nombre común, que ahora se proporciona solo por razones de compatibilidad. Un solo certificado puede contener muchas SAN y ser válido para muchos nombres de dominio diferentes. Wikipedia https://letsencrypt.org/docs/rate-limits/#names-per-certificate
Subscriber: La persona u organización que solicita un certificado.
TLS (Transport-Level Security): El protocolo utilizado por HTTPS para cifrar y autenticar las visitas a la página web.
TLSA: La parte de DANE específicamente relacionada con la validación de conexiones TLS.
Top-Level Domain (TLD): Nivel más alto en el Sistema de nombres de dominio jerárquico como dominios de nivel superior de código de país (ccTLD) ejemplo: .de (Alemania), .cn (China) y dominios genéricos de nivel superior (gTLD) como .com , .org. Wikipedia
Unified Communications Certificate (UCC): Una descripción de un certificado que contiene múltiples Nombres alternativos de sujeto (SAN).
User Agent: Software capaz de comunicarse con un servidor web. Ejemplo: un navegador web o cURL.
Web Browser: Un agente de usuario utilizado para mostrar páginas web. Ejemplos: Mozilla Firefox, Google Chrome o Internet Explorer. Wikipedia
Web server: Software que sirve páginas web (o, por extensión, el servidor de hardware que lo aloja). Wikipedia
Wildcard Certificate: Certificados válidos para subdominios de un nivel de profundidad. Por ejemplo, un certificado que contiene un SAN para *.example.com es válido para blog.example.com y www.example.com pero no para bork.bork.example.com o example.com). Un comodín se indica con un asterisco * en lugar de un subdominio. Let’s Encrypt proporciona certificados comodín a partir de marzo de 2018. Wikipedia
X.509: El estándar que define el formato de los certificados de clave pública. Wikipedia