Revista sobre los certificados SSL/TLS y las autoridades certificadoras

Revista con recomendaciones, sugerencias e información de interés sobre los certificados SSL/TLS y la seguridad de los certificados SSL/TLS y guías para trabajar con los certificados SSL/TLS.


Firmamos el correo: certificados S/MIME en la práctica

En el artículo de hoy vamos a ver cuál es el uso práctico del certificado para la firma electrónica (S/MIME). Usted va a conocer no solo su función sino también la manera de conseguirlo y utilizarlo. Es fácil y también usted puede utilizar el correo electrónico de manera más confiable y segura.

 

Definición del certificado S/MIME

El término S/MIME se refiere a un estándar utilizado para los certificados personales que sirven para la firma electrónica y la codificación del correo electrónico: se utiliza en los programas de oficina y es emitido por las autoridades certificadoras comerciales. Pues bien, se trata de un certificado para firmar el correo electrónico en clientes como Outlook o Thunderbird.

¡¿Cuáles son los beneficios de la firma electrónica?

El término firma electrónica tiene muchos significados y definiciones: por lo general se trata de una firma realizada con medios criptográficos propios, que deberían garantizar el origen, la autenticidad y la invariabilidad de un mensaje firmado. Sin embargo, las definiciones legales conocen muchas variantes de este término y crean términos difíciles no solo para un aficionado (vamos a ver el tema de una firma cualificada o garantizada a partir de un certificado cualificado en otro artículo).

 

La firma electrónica en el propio sentido de la palabra forma parte de un mensaje firmado que comprueba para el destinatario del mensaje (los una vez mencionados arriba) el origen, la autenticidad y sobre todo la invariabilidad del mensaje. La propia firma no tiene nada que ver con la codificación del mensaje o la protección del correo electrónico contra ser leído por una persona no autorizada (mencionaremos esta protección más abajo). Firmar los mensajes y codificar los mensajes son dos términos y operaciones totalmente diferentes. Cuál es la manera de firmar el correo en la práctica lo podrá leer en los siguientes párrafos de este artículo.

¡Ya basta con el firmar, quiero ocultar el mensaje!

Si quiere ocultar el contenido del mensaje codifíquelo con el certificado S/MIME. Sí, con el mismo que tiene para la firma electrónica. Para poder enviarle a alquien el mensaje codificado necesita primero su clave pública; dicho simplemente, es suficiente recibir de él al menos un mensaje firmado y su cliente de correo se ocupará del resto. Se guardará la clave pública de la firma de la otra persona y con ella puede luego codificar un mensaje para esta persona.

Pues bien, por ejemplo si quiere enviar un mensaje secreto” a su compañero Pepe necesita disponer de al menos un correo firmado por él. Su cliente de correo luego codificará su mensaje con la clave pública de él y lo puede descifrar solamente el titular de la clave privada, es decir Pepe.

 

Conseguir el certificado S/MIME

Pedido

Conseguir el certificado para firmar o codificar el correo es fácil. En la página web SSLmarket.es realiza un pedido del certificado S/MIME y lo paga. En el primer pedido quizás tenga dudas en cuanto a las cosas que se rellenan en el pedido.

 

El texto informativo del pedido explica que el certificado lo puede conseguir para un nombre y apellidos y correo electrónico de una persona física (mencionando el nombre y apellidos en el primer paso) o para una empresa y luego se mencionará en el certificado también un contacto de empresa junto con su correo electrónico (en este caso introduce en el primer paso el nombre de la empresa y no el nombre y apellidos de una persona).

 

Durante el proceso del pedido es importante decidir qué correo electrónico va a utilizarse para el certificado. Este correo figura en el pedido como un correo electrónico de la Persona para la autorización. Si hay algo que no quede claro en el proceso del pedido llámenos y para nosotros será un placer poder ayudarle.

 

Lo que le hace más fácil el pedido es el hecho de que para este tipo de certificado no necesita enviar ninguna CSR request.

Recoger el certificado

Cuando pague el pedido recibirá un correo electrónico de la autoridad certificadora y mediante él conseguirá el certificado. Haga clic en el enlace recibido y entrará en el sitio web de la autoridad certificadora.


 

Después de revisar los datos en el futuro certificado, haga clic abajo en el botón  Generate Certificate, luego será generado el certificado y será guardado en su navegador. Si lo quiere utilizar en Outlook para recogerlo elija el navegador Chrome y se ahorrará trabajo. Si lo recoge en Thunderbird a continuación es necesario exportar el certificado. No es difícil y le ayudará en ello el artículo Exportación e importación de los certificados en diferentes almacenamientos.

Firmar el correo electrónico en el cliente

En los siguientes párrafos encontrará el procedimiento de firmar en dos clientes de correo más conocidos. Recomendamos utilizar la firma automáticamente en todos los casos y la codificación del correo manualmente (antes de que adquiera el certificado del destinatario incluso no es posible de otra manera).

Microsoft Outlook

Como hemos mencionado anteriormente, si el certificado es generado en Explorer, Chrome u otro navegador diferente de Firefox (o en sus derivados) el cliente de correo va a ver el certificado. Está ya guardado en el dispositivo de almacenamiento del sistema Windows y está a disposición para otros programas. Abra la configuración del programa Outlook (Esquina superior izquierda → Opciones) y en el Centro de seguridad abra Configuración. En la Protección del correo por fin encontrará la configuración de la Firma electrónica.

Configuración de Outlook para la firma electrónica. Haga clic para aumentar.

 

 

Si el certificado inicial para la firma no está seleccionado (véase más en el campo Configuración inicial) lo puede hacer cliquendo en la Configuración y seleccionando manualmente el certificado en el ítem Certificado de firma.

Configuración de Outlook para la firma electrónica. Haga clic para aumentar.

 

Hasta aquí en cuanto a la configuración de Outlook. Para firmar un borrador haga clic en el panel inicial en Opciones y elija Firmar o codificar. La firma de mensajes concretos es posible activarla automáticamente o lo puede hacer manualmente para cada mensaje en la ventana del mensaje antes de enviarlo.

 

Enviar un mensaje  firmado en Outlook. Haga clic para aumentar.

 

Un mensaje codificado y firmado en Outlook.

 

El destinatario de su mensaje va a ver claramente un signo de la firma (cinta) o codificación (candado). El destinatario luego entrará en el detalle de la firma y el certificado personal S/MIME del remitente después de hacer clic en estos iconos en la esquina superior derecha.

Thunderbird

En el programa Thunderbird, el certificado tiene que estar guardado en su propio dispositivo de almacenamiento y no ayudará ni recoger el certificado en el navegador Firefox. Este no comparte el dispositivo de almacenamiento con Thunderbird. Pues bien, el certificado S/MIME es necesario exportarlo del navegador al formato PFX (este le servirá también como una copia del certificado con la clave privada) y luego lo importará a Thunderbird. Encontrará más información en el artículo Exportación e importación de los certificados en diferentes almacenamientos y a continuación Importación de los certificados S/MIME a los clientes y su configuración.

 

Después de una importación exitosa entre en Thunderbird en configuración de la cuenta y elija allí un certificado para firmar. Es de suponer que la oferta contendrá el único certificado: el recién importado.

 

El propio firmar de los mensajes es fácil: en un borrador hace clic en el botón S/MIME y elige Firmar electrónicamente el mensaje. En la esquina inferior derecha luego verá un nuevo símbolo del sobre que representará la firma electrónica.

 

 

Ahora puede enviar un mensaje con la firma electrónica. La codificación del mensaje supone solamente elegir la segunda opción en este menú. En los mensajes recibidos firmados electrónicamente podrá ver un sobre llamativo en la parte derecha del panel con la información sobre el mensaje.

 

Cliente de web (Gmail, Outlook)

 

Los clientes web (o dicho de manera más moderna clientes de nube) en el momento de redactar el artículo normalmente no saben trabajar de manera activa con los certificados S/MIME. Solamente las soluciones de empresa comerciales tienen derecho a firmar el correo en los servicios web (véase más por ejemplo en la ayuda para firmar Office 365). Sin embargo, los servicios de correo gratuitos extranjeros Gmail.com y Outlook.com saben al menos recibir el correo firmado y evaluar la validez de la firma; no obstante, el soporte del certificado es solamente pasivo y para firmar el correo sigue siendo necesario mapear estos buzones en el cliente de correo (Outlook, Thunderbird). En cualquier buzón de este tipo se entra a través del protocolo IMAP o POP3.  

 

Detalle de la firma electrónica en Gmail

 

El resto de los servicios (por ejemplo Seznam.cz) no soporta las firmas; esto se soluciona de manera que se traslada la firma a un adjunto con la extensión P7S, que en muchos casos confunde al destinatario, el cual no sabe trabajar con él. La ausencia del soporte la puede sin embargo solucionar otra vez utilizando el cliente de correo.

 

 

Ing. Jindrich Zechmeister

Especialista en los certificados SSL de seguridad

Symantec Sales Expert Plus certificado

correo electrónico: jindrich.zechmeister(at)zoner.cz