Usar Certificaos

Un certificáu ye l'equivalente dixital a un carné d'identidá. De la mesma manera qu'usté tien distintos carnés pa coses diferentes, como'l carné de conducir, carné d'empleáu, o tarxeta de creitu, usté pue tener distintos certificaos que lu identifiquen pa coses diferentes.

Esta estaya desplica cómo realizar operaciones con certificaos.

 

N'esta estaya:

Obtener el So Certificáu Personal

Comprobar la Seguridá d'una Fueya Web

Alministrar Certificaos

Alministrar Trxetes Inelixentes y Otros Dispositivos de Seguridá

Alministrar Avisos SSL y Parámetros

Alministrar Parámetros de Validación

 


Obtener el So Certificáu Personal

Un certificáu ye una forma d'identificación, parecíu a una tarxeta de creitu o el carné de conducir, qu'usté pue emplegar pa identificase n'Internet y n'otres redes. Como cualquier carné d'identidá, los certificaos espídelos una organización con una autoridá reconocida pa espedir esos certificaos. Una organización qu'espide certificaos nómase una autoridá certificadora (CA).

Usté pue obtener certificaos pa que lu identifiquen a usté mesmu de CAs públiques, alministradores de sistema o CAs especiales dientru la so organización, o de sitios web qu'ufierten servicios especializaos que piden medides d'identificación más completos qu'un nome d'usuariu y contraseña.

Neto que les condiciones pa un carné de conducir son distintes dependiendo del coche que-y prestaría conducir, los requisitos pa obtener un certificáu varíen dependiendo de pa qué lu quier emplegar. Dayuri, garrar un certificáu pue ser tan fácil como dir a un sitiu web, meter la so información personal, y descargar automáticamente'l certificáu al so navegador. N'otros casos tendrá de dir al través de varios pasos.

Usté pue obtener un certificáu güei en visitando la URL d'una autoridá certificadora y siguiendo les instrucciones na pantalla. Pa ver una llista d'autoridades certificadores, eche un güeyazu'l documentu Certificaos de Veceru.

En garrando un certificáu, guárdase automáticamente n'un dispositivu de seguridá. El so navegador vien col propiu programa de dispositivos de seguridá. Un dispositivu de seguridá tamién pue ser un componente d'ordenador, como una tarxeta intelixente.

Neto qu'un carné de conducir o una tarxeta de creitu, un certificáu ye una forma d'identificación per valiosa de la que podría abusase si cayera nes males manes. N'obtniendo un certificáu que lu identifica a usté, tendría de protexelu de dos formes: faciendo una copia de seguridá y estableciendo una contraseña mayestra.

N'obteniendo un certificáu, va pidise-y que faiga una copia de seguridá. Si tovía nun fizo una contraseña mayestra, va pidise-y que faiga una.

Pa información detalada al rodiu de facer copies de seguridá d'un certificáu y establecer la so contraseña mayestra, vea Los Sos Certificaos.

Volver al entamu de la estaya Usar Certificaos ]

 


Comprobar la Seguridá d'una Fueya Web

Siempre qu'usté ve una fueya web, pue ver los detalles al rodiu de la seguridá afayadiza n'esa fueya abriendo'l menú Ver, escoyendo Información de Fueya, y calcando'l cuadru de Seguridá.

El cuadru de Seguridá d'Información de Fueya apurre dos tipos d'información:

Si nun ta seguru de lo que quier dicir esa información, vea'l mensaxe correspondiente en Información de Fueya SSL.

Volver al entamu de la estaya Usar Certificaos ]

 


Alministrar Certificaos

Pue usar l'Alministrador de Certificaos p'alministrar los certificaos que tenga. Los certificaos pueden guardase nel discu duru del so ordenador o en tarxetes intelixentes o otros dispositivos de seguridá acoplaos al so ordenador.

P'abrir l'Alministrador de Certificaos:

  1. Abra'l menú Remanar y escueya Preferencies.
  2. Na estaya Privacidá y Seguridá, escueya Certificaos. (Si nun ve más estayes, calque pa engrandar la llista.)
  3. Na estaya de l'Alministrador de Certificaos, calque Alministrar Certificaos. Verá l'Alministrador de Certificaos.

 

In this section:

Alministrar Certificaos que lu Identifiquen a Usté

Alministrar Certificaos qu'Identifiquen Sitios Web

Alministrar Certificaos qu'Identifiquen a Autoridades Certificadores

 

Alministrar Certificaos que lu Identifiquen a Usté

La primer vegada qu'abra l'Alministrador de Certificaos, verá que tien dellos cuadros na parte d'arriba de la ventana. El primer cuadru nómase Los Sos Certificaos, y amuesa los certificaos que'l navegador tien pa identificalu a usté. Los certificaos ordénense pol nome de la organización que lu espidiere.

Pa facer un cambiu n'un o más certificaos, calque nel certificáu (o caltenga calcáu Control pa esbillar más d'un), darréu calque'l botón Ver, Copia de Seguridá o Esborrar. Ca ún d'esos botones fai salir otra ventana que-y permite facer el cambiu. Calque nel botón Ayuda pa ver más información de cómo usar la ventana que ta viendo.

Los botones que vienen darréu en Los Sos Certificaos nun necesiten que tenga un certificáu esbilláu. Úsense pa facer estes aiciones:

Pa más información al rodiu d'estes xeres, calque nel botón Ayuda de cualquier ventna del Alministrador de Certificaos o vea Los Sos Certificaos.

Volver al entamu de la estaya Usar Certificaos  ]

 

Alministrar Certificaos qu'Identifiquen Sitios Web

Dellos sitios web empleguen certificaos pa identificase a si mesmos. Esa identificación pídese antes de que'l sitiu web pueda encriptar información pa unviar ente'l sitiu y el so ordenador (o vice versa), asina naide pue lleer los datos nel camín.

Si la URL pa un sitiu web entama con https://, el sitiu web tien un certificáu. Si usté visita un sitiu d'estos y el so certificáu espidiéralu una CA que l'Alministrador de Certificaos nun conoz o nun confía, va entrugáse-y si quier aceutar el certificáu del sitiu web. Cuando aceuta un certificáu nuevu d'un sitiu web, l'Alministrador de Certificaos lu añade a la llista de certificaos de sitios web.

Pa ver tolos certificaos de sitios web afayadizos nel so navegador, calque nel cuadru Sitios Web na parte d'arriba de la ventana del Alministrador de Certificaos.

Pa facer un cambiu n'ún o varios certificaos de sitios web, calque nel certificáu (o caltenga calcáu Shift pa esbillar más d'ún), darréu calque'l botón Ver, Remanar o Quitar. Ca ún d'esos botones abre una ventana nueva que-y permite facer l'aición correspondiente.

El botón Remanar permite-y especificar si el so navegador va confiar nel certificáu del sitiu web nel futuru.

Pa más información, calque nel botón Ayuda en cualquier ventana del Alministrador de Certificaos o vea Certificaos de Sitios Web.

Volver al entamu de la estaya Usar Certificaos ]

 

Alministrar Certificaos qu'Identifiquen Autoridades de Certificación

Neto qu'otres formes d'identificación comunes, un certificáu espídelu una organización con una autoridá reconocía pa espedir esa identificación. Una organización qu'espida certificaos nómase una autoridá certificadora (CA). Un certificáu qu'identifique a una CA nómase un certificáu CA.

L'Alministrador de Certificaos suel tener munchos Certificaos de CAs archivaos. Estos certificaos CA permiten a l'Alministrador de Certificaos reconocer y trabayar colos certificaos espedíos poles CAs correspondientes. Sin embargo, la presencia d'un certificáu CA n'esta llista nun garantiza que los certificaos que'espide seyan de confianza. Usté, o l'alministrador del so sistema tienen de tomar decisiones al rodiu de qué tipu de certificaos quier confiar dependiendo de les sos necesidaes de seguridá.

Pa ver tolos certificaos CA afayadizos nel so navegador, calque nel cuadru Autoridades na parte d'arriba de la ventana del Alministrador de Certificaos.

Pa facer un cambiu n'ún o más certificaos CA, calque nel certificáu (o caltenga calcáu Control pa esbillar más d'ún), darréu calque nel botón Ver, Remanar o Quitar. Ca ún d'esos botones abre una ventana nueva que-y permite facer l'aición correspondiente. Calque nel botón d'Ayuda en cualquier ventana pa ver más información de cómo usar esa ventana.

El botón Remanar permite-y ver y controlar los niveles de confianza pa ca certificáu. Los niveles de confianza d'un certificáu CA permiten-y especificar en qué clase de certificaos espedíos por esa CA quier confiar.

Pa más información, calque nel botón Ayuda en cualquier ventana del Alministrador de Certificaos o vea Autoridades.

Volver al entamu de la estaya Usar Certificaos ]

 


Alministrar Tarxetes Intelixentes y Otros Dispositivos de Seguridá

Una tarxeta intelixente ye un dispositivu pequeñu, del tamañu d'una tarxeta de creitu, que tien un microprocesador y pue guardar información al rodiu de la so identidáy (como les sos claves privaes y certificaos) y facer operaciones criptográfiques.

Pa usar una tarxeta intelixente, tien de tener un llector de tarxetes intelixentes (una parte del equipu) acopláu al so ordenador, y tamién un programa nel so ordenador pa controlar el llector.

Una tarxeta intelixente sólo ye un tipu de dispositivu de seguridá. Un dispositivu de seguridá (tamién nomáu token) ye un dispositivu d'equipu o programa que da servicios criptográficos y guarda información de la so identidá. Use l'Alministrador de Dispositivos pa trabayar con tarxetes intelixentes y otros dispositivos de seguridá.

 

N'esta estaya:

Al rodiu de Dispositivos y Módulos de Seguridá

Trabayar con Dispositivos de Seguridá

Trabayar con Módulos de Seguridá

Habilitar Mou FIPS

 

Al Rodiu de Dispositivos y Módulos de Seguridá

L'Alministrador de Dispositivos amuesa una ventana que llista tolos dispositivos de seguridá afayadizos. Usté pue usar l'Alministrador de Dispositivos p'alministrar los dispositivos de seguridá, incluyendo les tarxetes intelixentes, que soporten Estándars de Criptografía de Clave Pública (PKCS) #11.

Un módulu PKCS #11 (tamién nomáu módulu de seguridá) controla ún o más dispositivos de seguridá neto qu'un controlador controla un dispositivu esterior como una empresora o un módem. Si ta instalando una tarxeta intelixente, tien d'instalar el módulu PKCS #11 pa la so tarxeta intelixente nel so ordenador y tamién coneutar el llector de tarxetes intelixentes.

Por defeutu, l'Alministrador de Dispositivos controla dos módulos internos PKCS #11 qu'alministren tres dispositivos de seguridá:

Volver al entamu de la estaya Usar Certificaos ]

 

Usar Dispositivos de Seguridá

Esta estaya asume qu'usté ta mirando al Alministrador de Dispositivos:

  1. Abra'l menú Remanar y escueya Preferencies.
  2. Na estaya de Privacidá y Seguridá, escueya Certificaos. (Si nun ve más estayes, calque pa engrandar la llista.)
  3. Nel panel de Certificaos, calque Dispositivos de Seguridá.

L'Alministrador de Dispositivos llista en negrina los módulos PKCS #11 afayadizos, y los dispositivos de seguridá alministraos por ca módulu debaxo del so nome.

When you select a security device, information about it appears in the middle of the Device Manager window, and some of the buttons on the right side of the window become available. For example, if you select the Software Security Device, you can perform these actions:

You can perform these actions on most security devices. However, you cannot perform them on Builtin Object Token or Generic Crypto Services, which are special devices that must normally be available at all times.

Return to beginning of Using Certificates section ]

 

Using Security Modules

If you want to use a smart card or other external security device, you must first install the module software on your computer and if necessary connect any associated hardware. Follow the instructions that come with the hardware.

After a new module is installed on your computer, follow these steps to load it:

  1. Open the Edit menu and choose Preferences.
  2. Under the Privacy and Security category, choose Certificates. (If no subcategories are visible, click to expand the list.)
  3. In the Certificates panel, click Manage Devices.
  4. Click Load.
  5. In the Load PKCS #11 Module dialog box, click the Browse button, locate the module file, and click Open.
  6. Fill in the Module Name field with the name of the module and click OK.

The new module will then show up in the list of modules with the name you assigned to it.

To unload a PKCS #11 module, select its name and click Unload.

 

Enable FIPS Mode

Federal Information Processing Standards Publications (FIPS PUBS) 140-1 is a US government standard for implementations of cryptographic modules—that is, hardware or software that encrypts and decrypts data or performs other cryptographic operations (such as creating or verifying digital signatures). Many products sold to the US government must comply with one or more of the FIPS standards.

To enable FIPS mode for the browser, you use the Device Manager:

  1. Open the Edit menu and choose Preferences.
  2. Under the Privacy and Security category, choose Certificates. (If no subcategories are visible, click to expand the list.)
  3. In the Certificates panel, click Manage Devices.
  4. Click the Enable FIPS button. When FIPS is enabled, the name NSS Internal PKCS #11 Module changes to NSS Internal FIPS PKCS #11 Module and the Enable FIPS button changes to Disable FIPS.

To disable FIPS-mode, click Disable FIPS.

Return to beginning of Using Certificates section ]

 


Managing SSL Warnings and Settings

The Secure Sockets Layer (SSL) protocol allows your computer to exchange information with other computers on the Internet in encrypted form—that is, the information is scrambled while in transit so that no one else can make sense of it. SSL is also used to identify computers on the Internet by means of certificates.

The Transport Layer Security (TLS) protocol is a new standard based on SSL. By default, the browser supports both SSL and TLS. This approach works for most people, because it guarantees that the browser will work with virtually all other existing software on the Internet that supports any version of SSL or TLS.

However, in some circumstances system administrators or other knowledgeable persons may wish to adjust the SSL settings to fine-tune them for special security needs or to account for bugs in some older software products.

You shouldn't adust the SSL settings for your browser unless you know what you're doing or have the assistance of someone else who does. If you do need to adjust them for some reason, follow these steps:

  1. Open the Edit menu and choose Preferences.
  2. Under the Privacy and Security category, select SSL. (If no subcategories are visible, click to expand the list.)

For more details, click the Help button in the SSL Settings panel or see SSL Settings.

Return to beginning of Using Certificates section ]

 


Manage Validation Settings

As discussed above under Get Your Own Certificate, a certificate is a form of identification, much like a driver's license, that you can use to identify yourself over the Internet and other networks. However, also like a driver's license, a certificate may be expired or invalid for some other reason. Therefore, your browser software needs to confirm the validity of any given certificate in some way before trusting it for identification purposes.

This section describes how Certificate Manager validates certificates and how to control that process. To understand the process, you should have some familiarity with public-key_cryptography. If you are not familiar with the use of certificates, you should check with your system administrator before attempting to change any of your browser's certificate validation settings.

In this section:

How Certificate Validation Works

Managing CRLs

Configuring Certificate Manager for OCSP

 

How Certificate Validation Works

Whenever you use or view a certificate stored by Certificate Manager, it takes several steps to verify the certificate. At a minimum, it confirms that the CA's digital signature on the certificate was created by a CA whose own certificate is (1) present in the the Certificate Manager's list of available CA certificates and (2) marked as trusted for issuing the kind of certificate being verified.

If the CA certificate is not itself present, the certificate chain for the CA certificate must include a higher-level CA certificate that is present and correctly trusted. Certificate Manager also confirms that the certificate being verified has not been marked as untrusted in the certificate store. If any one of these checks fails, Certificate Manager marks the certificate as unverified and won't recognize the identity it certifies.

A certificate can pass all these tests and still be compromised in some way; for example, the certificate may have been revoked because an unauthorized person has gained access to the private key that corresponds to the public key in the certificate. A compromised certificate can allow an unauthorized person (or web site) to pretend to be the certificate owner.

One way to combat this threat is for Certificate Manager to check a certificate revocation list (CRL) periodically (see Managing CRLs, below). However, the reliability of CRLs is subject to the frequency with which they are both updated by a server and checked by a client, and their size can sometimes cause delays in the verification process that may not be acceptable to some people.

Another way to combat this threat is to use a special server that supports the Online Certificate Status Protocol (OCSP). Such a server can answer client queries about individual certificates (see Configuring Certificate Manager for OCSP, below). The server, called an OCSP responder, receives an updated CRL periodically from the CA that issues the certificates to be verified. You can configure Certificate Manager to submit a status request for a certificate to the OCSP responder, and the OCSP responder confirms whether the certificate is valid.

 

Managing CRLs

The settings that control CRLs are part of Validation preferences. To view Validation preferences, follow these steps:

  1. Open the Edit menu and choose Preferences.
  2. Under the Privacy and Security category, choose Validation. (If no subcategories are visible, click to expand the list.)

Click the Manage CRLs in the Validation Settings panel to see a list of the CRLs available to Certificate Manager. To delete a CRL, select it, then click Delete.

 

Configuring OCSP

The settings that control OCSP are part of Validation preferences. To view Validation preferences, follow these steps:

  1. Open the Edit menu and choose Preferences.
  2. Under the Privacy and Security category, choose Validation. (If no subcategories are visible, click to expand the list.)

For information about the OCSP options available, see Validation Settings.

Return to beginning of Using Certificates section ]


6/27/2001

Copyright © 1994-2001 Netscape Communications Corporation.