Cuando un usuario intenta iniciar sesión en un servicio web o aplicación utiliza su certificado digital. Esto permite que los usuarios puedan acceder automáticamente sin tener que recordar las credenciales.
Los certificados de autenticación de cliente de las CA públicas lo identifican tradicionalmente en función de su dirección de correo electrónico. Mientras que el certificado de una CA privada, puede utilizar otra información, como una cadena arbitraria de números, un nombre de usuario o un número de identificación.
¿Qué es la autenticación de cliente?
La autenticación de cliente se produce cuando ambas partes verifican a la otra como propietaria legítima del certificado. Para ello, se debe verificar que cada una de las partes tenga la clave privada y que ésta coincida con la clave pública de su certificado individual.
Cuando estas claves coinciden, la del certificado público como la del certificado individual, se procede a la autorización. Si no es correcto, la conexión se rechaza inmediatamente. De modo que una vez se verifiquen los certificados de autenticación de cliente, tanto el servidor como el cliente establecen una conexión con recursos seguros y cifrados.
¿Cómo funciona?
La autenticación de cliente funciona durante la conexión. Pero en vez de que solo el cliente del usuario autentique el servidor web al que se está conectando, este sistema implica que su cliente se autentique en el servidor web; proceso que también se conoce como autenticación mutua o autenticación bidireccional.
Se basa en una infraestructura de clave pública, que es la base de la seguridad de Internet; es decir, no es un proceso independiente. Por lo que un certificado de autenticación de cliente proporciona autenticación mutua durante el protocolo de enlace.
Así como el servidor de un sitio web se autentica ante su cliente durante el protocolo de enlace TLS, su cliente también puede autenticarse en un servidor. Esto se conoce como autenticación mutua o autenticación bidireccional porque ambos dispositivos se autentican a sí mismos en lugar de la autenticación unidireccional habitual. En otras palabras, es un proceso de autenticación del servidor, pero autentica al cliente en el servidor.
¿Cómo funciona la autenticación del cliente PKI?
El dispositivo del cliente inicia sesión con una conexión HTTPS; así comienza el proceso de intentar obtener acceso a un recurso protegido. El servidor y su dispositivo intercambian certificados PKI.
El sitio o servicio envía al cliente una copia de su propio certificado SSL / TLS, y a su vez le solicitará una copia del certificado de autenticación de cliente de su dispositivo y la clave pública para verificar su identidad.
Su cliente se asegura de que el certificado del servidor sea válido y legítimo. Para verificar la validez del certificado, el cliente rastrea el certificado SSL / TLS hasta el certificado raíz emisor original a través del almacén de confianza. Si coincide, puede continuar. De lo contrario, terminará la conexión de inmediato.
Finalmente, hay un factor muy importante a considerar: la seguridad de la autenticación de cliente basada en certificados no es más que los usuarios mantengan sus claves privadas y dispositivos físicos seguros.
Una opción válida es no dejar las credenciales de autenticación vulnerables al acceso no autorizado de otros usuarios. Otra opción es la de proteger su dispositivo, ya sea con una contraseña segura u otro factor (como un biométrico), y de este modo proteger todos sus datos.
