Qué es PKI (infraestructura de clave pública)

La infraestructura de clave pública — PKI — es el sistema que permite a dos partes en internet verificar las identidades de unas a otras usando certificados criptográficos. Cuando tu navegador conecta al sitio web de un banco, PKI es lo que le dice "este servidor realmente es el banco".

El mecanismo usa criptografía asimétrica: una clave pública que cualquiera puede ver, y una clave privada que solo el dueño tiene. PKI es la cadena de firmas y confianza que hace esas claves significativas.

Cómo está estructurada PKI

Tres capas, de arriba abajo:

1. Autoridad de certificación raíz. Un pequeño número de organizaciones (DigiCert, Let's Encrypt, Sectigo, etc.) sostienen claves raíz en las que los navegadores y sistemas operativos confían por defecto. Las raíces firman certificados intermedios.
2. CAs intermedias. La firma del día a día sucede con intermedias. Firman certificados de entidad final. Si una intermedia es comprometida, solo los certs firmados por ella son afectados; la raíz se mantiene segura (offline, idealmente en hardware).
3. Certificados de entidad final. Lo que se emite a servidores y dispositivos reales. Tiene un hostname, una expiración, y una cadena de regreso a una raíz confiable.

Cuando visitas un sitio, tu navegador chequea la cadena de certificados: entidad final → intermedia → raíz. Si cada firma valida y la raíz está en el almacén de confianza, la cadena es buena. Si algo falla, el navegador te advierte.

Qué puede salir mal

Varios modos de falla comunes:

• Intermedia comprometida. Si una clave intermedia de una CA se filtra, los atacantes pueden emitir certs para cualquier dominio. Esto le ha pasado a CAs comerciales. Los navegadores responden desconfiando de la intermedia afectada.
• Raíz comprometida. Catastrófico. Una clave raíz confiable en manos del atacante significa que pueden firmar cualquier cosa. Las raíces se mantienen offline en tokens de hardware precisamente para prevenir esto.
• Certificado mal emitido. Una CA emite incorrectamente un cert para un dominio a alguien que no debería tenerlo. Los logs de Certificate Transparency hacen esto detectable pero no prevenible.

Cada uno de estos requiere que el cert roto sea revocado. La revocación es famosamente lenta — ver el post de certificados de corta vida por qué.

PKI dentro de una VPN

Tu proveedor VPN corre su propia PKI. La estructura es similar:

• Una CA raíz (offline, en hardware) que firma intermedias.
• Una CA intermedia (online) que firma certificados de servidor y cliente.
• Certs de entidad final para cada servidor VPN, y cada usuario autenticado.

Los servidores demuestran su identidad a los clientes vía estos certs. Los clientes demuestran su identidad (y autorización) de la misma manera. Es el mismo mecanismo de confianza que HTTPS usa, aplicado a la sesión VPN.

Fexyn corre una PKI de HashiCorp Vault. Raíz offline en tokens de hardware. Intermedia online, firmando tanto certs de servidor como de cliente. El TTL del cert emitido es 24 horas — lo suficientemente largo como para que un solo ciclo de sleep/resume no dispare renovación, lo suficientemente corto como para que una credencial robada expire antes de que la mayoría de los atacantes pueda usarla.

Compara esto con VPNs de consumo que emiten certs de cliente de 12 meses o más. Si uno de esos se filtra, es válido hasta que la revocación manual se complete — y la propagación de revocación es poco confiable. Los certs de 24 horas hacen ese problema autocorregible.

Lo que esto significa para los usuarios

No interactúas con la PKI directamente; el cliente VPN la maneja. Pero el diseño de la PKI determina el radio de explosión si algo sale mal. Un cert filtrado de Fexyn es inválido en 24 horas. Un cert filtrado de un competidor corriendo rotaciones de 12 meses es un problema de un año.

Lee más en Certificados de corta vida y la vista general de seguridad.

Prueba Fexyn gratis por 7 días — tu primer cert vive 24 horas.