Firefox y los certificados expedidos por RedIRIS

Tanto la Universidad como el CiTIUS utilizan el Servicio de Certificados de RedIRIS para servidores, que les provee certificados de forma gratuíta expedidos por TERENA a través del TERENA Certificate System.

TERENA es una organización europea cuyo objetivo es el desarrollo de infraestructuras en educación e investigación. En cuanto a su servicio, es una autoridad certificadora intermedia que obtiene los certificados de Comodo, una autoridad certificadora que sí es de primer nivel.

Aunque la mayoría de los navegadores contienen los certificados de las autoridades Comodo y TERENA, hay un navegador ampliamente utilizado que se resiste a incluír el certificado intermedio de Terena, Firefox.

Todo esto se resume en que al entrar con Firefox en una página segura que utilice un certificado expedido por RedIRIS, aparecerá una advertencia porque el navegador desconoce el certificado de TERENA, y por lo tanto no puede validar el certificado del servidor.

Firefox 26 mostrando una advertencia de certificado en la página web del CiTIUS

Afortunadamente, este problema se puede solventar incluyendo junto al certificado del servidor, el certificado de la propia autoridad intermedia, algo que ya se hacía para la página de la USC y ahora también para la del CiTIUS.

¿Por qué ocurre esto?

Comprobar la identidad de un sitio web es fundamental en una conexión segura, y para ello los servidores envían un certificado firmado por una autoridad certificadora. Los navegadores, habitualmente conocen y confían en estas autoridades.

Firefox, al no incluír a TERENA entre las autoridades certificadoras confiables, no puede verificar la identidad de los sitios web que envíen certificados expedidos por ellos.

Sin embargo, TERENA es una autoridad certificadora de segundo nivel, lo que significa que ejerce de intermediaria entre los usuarios finales de los certificados (o incluso autoridades de nivel inferior) y una autoridad certificadora de primer nivel, en este caso Comodo. Firefox sí incluye el certificado a Comodo entre las autoridades certificadoras confiables.

Al configurar el servidor para que envíe el certificado emitido por TERENA, más el certificado que identifica a la propia TERENA, Firefox puede identificar a TERENA como autoridad certificadora confiable, y a su vez comprobar la identidad del certificado emitido.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *