El correo electrónico es una de las tecnologías más viejas de internet, diseñada y puesta en marcha cuando Internet todavía era un lugar seguro y amigable. Este ya no es precisamente este caso, pero los servidores de correo todavía dejan que cualquiera en Internet acceda a sus servicios para enviar Spam, y muchos de nosotros todavía enviamos las contraseñas de nuestras cuentas en texto plano a través de nuestra conexión.
Requerimientos del sistema para este artículo:
MacOSX 10.3 y la versión de Mail que lo incluye.
La versión de Mail que viene con MacOSX 10.3 dispone ahora de la habilidad de firmar y encriptar mensajes. Estas son unas noticias excelentes, porque nos permite verificar la identidad del usuario que nos envía el correo que acabamos de recibir, y nos permite verificar que el mensaje no ha sido modificado durante el tránsito y finalmente nos permite usar correos encriptados (en otras palabras, nos permite ponerle un sobre y un sello a nuestros correos).
Con este artículo voy a intentar ofrecer un tutorial paso a paso para empezar a usar esta nueva incorporación en Mail.
El Certificado Digital
En el “mundo real” hay varias autoridades que son capaces de validar específicamente la identidad de una persona. Esas identificaciones pueden ser documentadas tal que un carnet de identidad o de conducir.
Hay varios tipos de certificados digitales, en esta guía nos ceñiremos exclusivamente a los certificados para el correo electrónico. Un certificado de correo electrónico se usa para verificar la identidad de la persona que nos envía un correo electrónico, y comprobar que de hecho es esa persona exactamente la que nos envía el correo.
En otras palabras, si recibes un correo de Pericodelospalotes@mail.com, el certificado no te dirá quien es realmente el propietario de esa cuenta de correo, pero que si es realmente el propietario de esa cuenta.
El primer paso en el camino es obtener un certificado digital para añadir a nuestro correo. Hay, por supuesto, varios sitios para obtener un certificado digital, pero un lugar gratuito (y bueno) para obtenerlos es Thawte. Thawte es una compañía sudafricana, propiedad de Verisign que vende certificados digitales a las empresas para sus servidores web y también ofrece certificados personales gratis.
Nota: Actualmente puedes usar Safari 1.2 o Mozilla 1.6 para solicitar y descargar certificados. En esta guía Te mostraré como hacerlo con Safari que hace el progreso de una manera mucho más facil. Léete el FAQ (preguntas frecuentemente hechas) al final de este artículo si encuentras algún beneficio en usar Mozilla.
Por favor, toma nota que estas no son palabras vanas; actualmente necesitas usar uno de esos dos navegadores, ya que el resto de los navegadores disponibles para MacOSX no tienen el soporte requerido par descargar certificados.
Cuando llegues a la web de Thawte (Thawte: Personal Cert System Enrollment) podrás crear una cuenta rellenando el formulario que aparece cuando se pulsa el botón de “join” (unirse).
El certificado que estás a punto de crear ayudará a verificar quien eres “en-línea”, lo que asegura que la información adjunta al correo es correcta. Presta especial atención en seleccionar una contraseña segura. Usa la aplicación Acceso a llaves que viene con MacOSX para almacenar la contraseña y la “pregunta de prueba” que se añade como “nota segura”.
Una vez que la cuenta está creada, puedes entrar en la zona de miembros del site usando este link (Thawte: Request A Certificate), y solicitar un certificado rellenando el formulario que aparece cuando se pincha en el botón “Solicitud” (Request).
Acepta los valores por defecto en las 4 primeras páginas del formulario. En la quinta página elige “Accept Default Extensions” (Acepta las extensiones por defecto). Cuando procedas a pasar a la 6º página, un Keypair se generará y se descargará a la aplicación Acceso a llaves (que se encuentra en la carpeta utilidades, dentro de Aplicaciones). Si Acceso a llaves se encuentra bloqueado, el programa solicitará su desbloqueo para permitir que esa nueva llave se añada.. Acepta la última página del formulario para enviar la solicitud a Thawte.
Nota: Espero que la mayoría de nosotros eliga el tomar ventaja de la posibilidad de ser contactado por Thawte y de las “compañías, subsidiarias, socios de negocios o representantes” sobre cualquier cosa no relacionada con nuestros certificados. Puedes ser incluido enviando tu correo electrónico a su sitio en internet:Thawte: Opt-Out
Su política de privacidad la puedes encontrar aqui: Thawte: Privacy Statement
Este es un buen momento para tomarse un descanso. Thawte está generando el nuevo certificado, pero le toma un tiempo. Puedes esperar el correo de respuesta que recibirás de Thawte cuando el certificado esté listo o controlar el proceso en esta página:
Thawte: Certificate Request Status .
Inicialmente el estado de tu nuevo certificado será “pending” (Pendiente), una vez esté hecho pasará a “issued” (enviado). Cuando el certificado este enviado, deberás pulsar el link llamado “Navigator“. Serás llevado a una página donde se presentan los detalles del certificado, y un botón donde descargar el certificado.
Después de pulsar el botón de descarga (Fetch) se abre el panel de descargas de Safari. Cuando la descarga está completa, Safari abre directamente la aplicación Acceso a Llaves para transferir el certificado
Usando Mail
Para enviar un mail firmado, simplemente selecciona el botón de “firma” en la ventana de nuevo correo (la estrella con el símbolo de verificado). Para enviar además el correo encriptado, haz clic en el botón de encriptación (el del candado).
Nota:Un correo firmado permite validad la integridad del mismo (por ejemplo, aquellos que no han sido modificados después de el proceso de firmado) y la identidad del que lo envía, pero el mensaje todavía se envía en texto plano, excepto si se encripta. Un correo encriptado protege el cuerpo del correo (el texto) de ojos curiosos, pero no suele estar firmado.
Si tienes un certificado puedes enviar correos firmados a todo el mundo, pero solo puedes enviar correos encriptados cuando tu y el destinatario (o destinatarios) disponéis de certificados.
Mail necesita del certificado para encriptar el correo saliente.
Si Mail no te pidió que tu, y no sólo los receptores, necesitas tener un certificado para poder enviar mensajes de correo electrónico cifrados, no podrás leer tus mensajes de correo cifrados una vez enviados.
La mejor manera de hacer saber a Mail que el receptor del correo tiene un certificado, y para darle acceso a Mail a ese certificado, es enviar primero un correo “firmado” (solo firmado, no encriptado). Mail guardará los certificados que reciba en acceso a llaves para futura referencia. El botón de encriptación no aparecerá si el receptor no tiene un certificado, o si no tienes una copia de ese certificado almacenado en tus Llaves.
Este es es aspecto de un correo recibido (y firmado). Denotese el pequeño símbolo que indica que la identidad del que nos envía el correo es correcta, y que el mensaje no ha sido modificado desde que fue enviado por el emisor.
Si Mail no puede verificar la firma del correo, como en el siguiente mensaje en el que se ha añadido texto después de firmar el mensaje, avisará al usuario.
Últimas consideraciones
Espero que Apple tenga en un futuro éxito en establecer correos seguros cono norma, en vez de como excepción, como ayudó a establecer el USB, las redes inalámbricas y otras muchas tecnologías durante estos años. Para que esto ocurra pienso que el proceso de adquirir un certificado debería realizarse de una manera mucho más sencilla. Quizás debería ser parte de .Mac en alguna manera?. Añadir este valor a .Mac seguro que no le causa ningún daño.
Serán bien recibidos los comentarios, sugerencias e informes de fallos en mi dirección de correo.
FAQ´s
P.: Acceso a Llaves no importa un certificado porque “el item especificado ya existe en las llaves” (The specified item already exists in the keychain).
R.: Es muy posible que el certificado que se va a añadir tenga la misma dirección de coreo que un certificado que está ya en las Llaves. Inspecciona los certificados importados en Acceso a LLaves para ver si es el caso o no.
Si dispones de certificados para más de una dirección de correo, posiblemente has descargado el mismo certificado más de una vez.
P.: Tengo un certificado para mi correo electrónico en mis Llaves, pero ¿porqué no me deja Mail firmar o encriptar un correo?
Verifica que la dirección de correo en el certificado, y la configurada en Mail están escritas exactamente igual, incluyendo mayúsculas y minúsculas. Aunque pienses que la misma dirección PericoDeLosPalotes@mail.com y pericodelospalotes@mail.com son a menudo interpretadas como la misma cuenta de correo, Mail los trata como entidades diferentes mientras trata de adjuntar un certificado a una cuenta (para cumplir la sección 2.4 del RFC 2821 para SMTP).
P.: Porqué no puedo crear correos encriptados?
Por favor, relee mi nota superior sobre los requerimientos para enviar correos encriptados. Básicamente indica que la persona que envía necesita el certificado el receptor para poder encriptarlo.
P.: Previamente has indicado que solo se puede mandar un correo encriptado a alguien del que tenemos que haber recibido previamente el certificado, no es esto un Catch-22?
R.: No. Hay una diferencia entre un mensaje “firmado” y uno encriptado (ver pregunta anterior). Puedes enviar un correo firmado a todo el mundo, lo que proveerá a esa persona de tu certificado, lo que permite al receptor la oportunidad de crear una respuesta con un correo “encriptado”.
P.: Necesito mi verificado en otra máquina. Como exporto mi certificado de las llaves?
R.: Desgraciadamente Acceso a Llaves no permite actualmente (MacoSX 10.3.2) exportar el certificado en un formato móvil.
La única posibilidad es evitar Safari para descargar el certificado y usar Mozilla. Mozilla es capaz de exportar certificados en un formato que puede ser importado en las Llaves. Instrucciones para el proceso pueden leerse (en castellano, artículo original completo) Download aquí.
Compatibilidad con otros clientes de correo
No he podido encontrar una fuente de información comprensible acerca de la interoperabilidad para trabajar con certificados digitales. Por favor, hazme saber cualquier problema en el intercambio de correos firmaos y/o encriptados entre Mail y otros clientes de correo.
Aquí hay algunos pequeños bits de información basados en la retroalimentación recibida:
Mientras que Outlook XP es capaz de leer correos firmados y/o encriptados de Mail, Mail es incapaz de abrir correos de este cliente que an sido a la vez firmados y encriptados.
Outlook Express puede tener problemas con los certificados que contienen mas de una dirección de correo. Para evitar esos problemas, descarga un certificado diferente por dirección de correo, en vez de un solo certificado para todas las direcciones.
Netscape 7.0.1 no reconoce los correos firmados de Mail. Actualizarse a Netscape 7.1 soluciona el problema.
Parece que la mayoría de los clientes de correo mas populares soportan los certificados digitales en sus últimas versiones, La mejor manera de resolver problemas con el uso de certificados digitales es estar actualizado a las últimas versiones.
Lecturas adicionales
Centro de Ayuda > Explore la Ayuda Mail > Cómo enviar y recibir correo electrónico > Acerca de la encriptación y de las firmas digitales > Cómo encriptar y firmar un mensaje en Mail
Apple: How to Use a Secure Email Signing Certificate (Digital ID)
Thawte: Overview of digital signatures and certificates
Mac DevCenter: How to Set Up Encrypted Mail on Mac OS X
Mark Noble: S/MIME Secure Email for Windows users
Document Version History
• 24 Oct 2003 – First post.
• 26 Oct 2003 – Fixed spelling and grammatical errors. Improved some areas based on feedback.
• 28 Oct 2003 – Corrected statement about encryption supposedly including signing – it does not.
• 02 Nov 2003 – Added TOC and FAQ.
• 16 Nov 2003 – Added new links, opt-out for Thawte, compatibility info. Updated pictures.
• 23 Jan 2004 – Added new link. Updated opt-out for Thawte.
• 03 Feb 2004 – Safari 1.2 can download and import certificates.
• 13 Feb 2004 – Added new link. Added FAQ item. Corrected a couple of errors.
Autor: Joar Wingfors
Web del autor: http://www.joar.com/certificates/
Traducción : XiMac , con permiso del autor. Posteriores reproducciones (en inglés y en español) en otros medios requieren el permiso expreso del autor y traductor. Términos técnicos adaptados al castellano internacional.
Bravo, y muchas gracias.
As for the Giants, their own happiness was short-lived as they lost to – who else?