Como configurar en linux root CA certificate in the trust store

 

www.onlinetis.com

Un certificado de la Autoridad de Certificación Raíz (CA) es un certificado digital autofirmado que sirve como la base de la cadena de confianza para la seguridad en línea. Lo emite una Autoridad de Certificación (CA) de alta confianza.

El "almacén de confianza" (trust store) es una base de datos de certificados raíz preinstalada en tu sistema operativo, navegador web o dispositivo móvil. Estos certificados son la "raíz" o "ancla" de confianza. Tu dispositivo confía automáticamente en cualquier certificado que pueda rastrearse hasta uno de estos certificados raíz.

Cómo funciona

  1. Jerarquía de confianza: Una CA raíz usa su certificado para firmar certificados intermedios. A su vez, estos certificados intermedios se utilizan para firmar los certificados de usuario final (los que ves en los sitios web, también conocidos como certificados SSL/TLS).

  2. Verificación: Cuando te conectas a un sitio web seguro (HTTPS), tu navegador recibe el certificado del sitio y una cadena de certificados. El navegador no confía directamente en el certificado del sitio, sino que lo verifica remontando la cadena hasta el certificado intermedio que lo firmó. Luego, verifica ese certificado intermedio remontando la cadena hasta el certificado raíz.

  3. Ancla de confianza: Si el navegador encuentra una coincidencia con un certificado raíz que ya está en su almacén de confianza, considera que el certificado del sitio es legítimo y la conexión es segura. Si la cadena no se puede rastrear hasta un certificado raíz de confianza, el navegador muestra una advertencia de seguridad.

En resumen, los certificados de la CA raíz en el almacén de confianza son la base sobre la que se construye la seguridad del tráfico en Internet, asegurando que los sitios web y otros servicios digitales son quienes dicen ser.

 

El proceso para agregar un certificado de CA raíz al almacén de confianza de Linux varía ligeramente dependiendo de la distribución que estés usando (por ejemplo, Debian/Ubuntu vs. Red Hat/Fedora). Sin embargo, los pasos generales son muy similares.

📝 Pasos Generales

  1. Obtén el certificado: Asegúrate de tener el certificado de la CA raíz en formato PEM (Privacy Enhanced Mail), que es un archivo de texto que comienza con -----BEGIN CERTIFICATE-----. Si tu certificado está en formato DER (binario), puedes convertirlo con OpenSSL.

    • openssl x509 -inform der -in certificado.der -out certificado.crt

  2. Copia el certificado al directorio correcto: La ubicación de los certificados de CA confiables es diferente en cada distribución.

    • Para sistemas basados en Debian/Ubuntu:

      Bash
      sudo cp tu_certificado.crt /usr/local/share/ca-certificates/

    • Para sistemas basados en Red Hat/CentOS/Fedora:

      Bash
      sudo cp tu_certificado.crt /etc/pki/ca-trust/source/anchors/

    • Nota: Asegúrate de que el archivo tenga la extensión .crt para que sea reconocido.

  3. Actualiza el almacén de confianza del sistema: Después de copiar el certificado, debes ejecutar un comando que le indique al sistema que actualice su lista de certificados de confianza.

    • Para sistemas basados en Debian/Ubuntu:

      Bash
      sudo update-ca-certificates

    • Para sistemas basados en Red Hat/CentOS/Fedora:

      Bash
      sudo update-ca-trust extract

🔍 Ejemplo Práctico (Ubuntu/Debian)

Imagina que tienes un certificado llamado mi_ca_raiz.crt.

  1. Abre una terminal.

  2. Copia el certificado al directorio de confianza del usuario:

    Bash
    sudo cp mi_ca_raiz.crt /usr/local/share/ca-certificates/

  3. Ejecuta el comando para actualizar el almacén de certificados:

    Bash
    sudo update-ca-certificates

El comando update-ca-certificates procesará el nuevo archivo y lo agregará al "bundle" de certificados de confianza del sistema, que generalmente se encuentra en /etc/ssl/certs/ca-certificates.crt. Las aplicaciones que confían en este almacén del sistema ahora deberían confiar en tu certificado de CA raíz.

 

Location: España

Entradas populares de este blog

Ciberseguridad y hacking con Whatweb

Imagen
www.onlinetis.com WhatWeb es una herramienta de código abierto para realizar fingerprinting o huella digital de sitios web . Su principal función es identificar las tecnologías, aplicaciones, servidores y otras configuraciones que se utilizan en una página web. Es muy popular en el ámbito de la ciberseguridad, especialmente en la fase de reconocimiento de una auditoría de seguridad o un test de penetración. ¿Cómo funciona WhatWeb? WhatWeb opera analizando una página web en busca de "firmas" o patrones que revelan la tecnología subyacente. En lugar de ser un escáner de vulnerabilidades completo, se centra en la recopilación de información. Para ello, examina diversos elementos del sitio web, incluyendo: Encabezados HTTP : Analiza las respuestas del servidor para identificar el tipo de servidor web (como Apache o Nginx), el lenguaje de programación (PHP, ASP.NET), o la versión. Código HTML y JavaScript : Busca cadenas de texto, nombres de archivos, comentarios o scripts especí...
LEER MAS »

Como robar contraseñas haciendo un phishing web

Imagen
  www.onlinetis.com Evilginx es una herramienta de phishing de tipo man-in-the-middle (MitM) diseñada para interceptar y robar credenciales de usuario, incluyendo las de sitios web que utilizan autenticación de doble factor (2FA). Su principal objetivo es engañar a las víctimas para que introduzcan sus credenciales en un sitio web falso que parece legítimo. ¿Cómo funciona Evilginx? Evilginx actúa como un proxy inverso. Esto significa que se coloca entre la víctima y el sitio web real que la víctima intenta visitar. Aquí te explicamos los pasos clave de su funcionamiento: Atracción de la víctima : El atacante envía un enlace a la víctima que la dirige al sitio de phishing, el cual está alojado en el servidor donde se ejecuta Evilginx. El dominio de este sitio suele ser muy similar al del sitio web real para no levantar sospechas. Proxy inverso : Cuando la víctima accede al sitio de phishing, Evilginx no solo le presenta una copia idéntica del sitio web real, sino que también red...
LEER MAS »

Arsenal software hacking NFC

Imagen
  www.onlinetis.com Arsenal software hacking NFC Kali Linux incluye varias herramientas especializadas para la auditoría y "hacking" de redes y dispositivos NFC. Estas herramientas están diseñadas para interactuar con las etiquetas y tarjetas NFC para realizar análisis de seguridad, como leer, escribir o clonar datos. Herramientas principales libnfc : Es la biblioteca fundamental que proporciona las funciones básicas para interactuar con dispositivos NFC. Es la base para muchas otras herramientas. Permite listar, leer y escribir en tags NFC. Los comandos más comunes son: nfc-list : Lista los dispositivos y tarjetas NFC conectados. nfc-mfclassic : Utilidad para leer y escribir en tarjetas MIFARE Classic , que son comunes en sistemas de transporte y control de acceso. nfc-mfultralight : Similar al anterior, pero para tarjetas MIFARE Ultralight . mfoc (Mifare Offline Cracker) : Esta es una herramienta crucial para el "hacking" de tarjetas MIFARE Classic. Explota una vu...
LEER MAS »