La seguridad debe contemplar no sólo que no accedan intrusos, sino que los sistemas y las aplicaciones funcionan y son utilizados correctamente. Los niveles de seguridad no pueden, ni deben, ser iguales para todos los elementos (usuarios, aplicaciones,...) que gestionan la información.

Las medidas de seguridad deben contemplar algunos de los siguientes aspectos:

Identificación biunívoca de los usuarios (Users ID)

Claves de acceso (password) de al menos 6 caracteres y ficheros de claves protegidos y encriptados.

Modificación periódica de las claves de acceso (como mínimo cada tres meses)

Registros de control del uso correcto, intentos incorrectos

Acceso remoto seguro

Cifrado y firma digital en las comunicaciones

Posibilidad de desconectar si no se usa un terminal e identificación de la persona que desconecta.

Salvaguardas y copias de seguridad.

Planif icación de desastres.

Formación de los usuarios en los aspectos de seguridad.

El nivel de desarrollo de estas medidas depende de la naturaleza de la organización, de la información, de las aplicaciones, de quienes las usan y acceden a las mismas.

La puesta en marcha de un plan de seguridad no es algo estático que se hace una vez. Una de las principales garantías de que un sistema es seguro es que se realiza un seguimiento de las medidas puestas en marcha, de los registros de auditoría. El seguimiento de las medidas de seguridad es la vía para asegurar que el plan se adapta a la organización y para detectar posibles intentos de fraude o acceso incorrecto.

El desarrollo de redes globales a las que se accede desde cualquier parte del mundo con un coste bajo y desde cualquier hogar como es INTERNET, aumenta estadísticamente la probabilidad de que alguien no autorizado intente acceder a mi red.

En un estudio de Datapro Research corp. se resumía que la distribución de los problemas de seguridad en sistemas basados en redes responde a la siguiente distribución:

Errores de los empleados:50%

Empleados deshonestos 15%

Empleados Descuidados 15%

Intrusos ajenos a la Empresa 10%

Integridad física de instalaciones 10%

Los planes de seguridad deben considerar la tipología de la información, de los usuarios de la misma y de los equipos y sistemas.

En un plan típico de seguridad se deben considerar los siguientes aspectos:

Seguridad física de los locales y acceso donde se encuentran los sistemas.

Asegurarse contra todos los riesgos posibles; esto requiere un periodo de observación y una clasificación de los recursos y sistemas que están en los edificios de la Organización, los que están fuera, los puntos de acceso remoto, las costumbres y hábitos del personal y el uso de la microinformatica estática y portátil.

Asegúrese que es una integración por encima de los sistemas, plataformas y elementos que constituyen las redes, ..

La gestión de la seguridad debe de ser centralizada.

Entrando ya más en el detalle, el plan debe de especificar las tareas a realizar, cómo se definen los niveles de acceso, cómo se audita el plan, cómo se realizará el seguimiento, dónde deben ponerse en marcha medidas específicas (cortafuegos, filtros, control de acceso,...),.....

El sentido común debe jugar un papel de relevancia, ya que si no es así, se pueden llegar a proponer medidas muy seguras pero realmente impracticables, lo cual significa que hay que asumir ciertos riesgos.

Podemos definir un Ataque o Amenaza como la potencial violación de un sistema de seguridad. Estas tácticas o amenazas pueden producirse a partir de alguno de estos hechos:

Modificación ilegal de los programas (virus, Caballos de Troya, borrado de información).

Deducción de Información a partir de datos estadísticos o de uso que se utilizan para reconstruir datos sensibles

Destrucción y modificación de datos controlada o incontrolada.

Cambiar la secuencia de los mensajes.

Análisis del trafico observando los protocolos y las líneas de comunicación o los discos de los ordenares.

Perdida del anonimato o de la confidencialidad.

Uso de una identidad falsa para hacer transacciones o enviar operaciones.

Impedir que a un usuario que puede usar los recursos lo haga.

Violación de los sistemas de control de acceso.

Los "crackers", piratas o violadores informáticos con interés en atacar un sistema para obtener beneficios de forma ilegal, los "hackers", que son aquellos que lo hacen simplemente como pasatiempo y reto técnico (más respetuosos que aquellos con la información), y los "sniffers", que rastrean y observan todos los mensajes que hay en la red, constituyen nuevas tipologías de intrusos que cada vez están adquiriendo mayor relevancia en el panorama de la seguridad.

Los "crackers", una vez que acceden a un sistema, pueden entre otras cosas coleccionar las claves de acceso a los diferentes nodos y sistemas de la red para su posterior uso, o bien dejar programas que les permiten el posterior acceso al sistema.

Su objetivo es acceder al sistema operativo al más alto grado de prioridad para controlar las aplicaciones, borrar ficheros, introducir un virus,...

Los Agentes externos no constituyen, sin embargo, el mayor peligro para una red de área global. Un estudio realizado en más de 2000 compañías encontró que el 65% de los gastos incurridos (mas de 5 billones anuales de dólares en pérdidas) fueron generados por errores y mal uso de los propios usuarios de la red y no por agentes externos. El ejemplo más claro lo tenemos en los virus informáticos: el 90% de los virus los introducen en las organizaciones los propios usuarios a través de programas, juegos, disquetes,.. que nunca deberían haber usado y que en algún caso tenían prohibido hacerlo.

Los mecanismos para garantizar la seguridad no pueden ser ajenos a los sistemas informáticos que deben de ejecutarlos: de nada sirve poner en un papel que las claves de acceso tendrán 15 caracteres si luego nuestros programas sólo admiten 6. Esto que parece tan obvio indica que la gestión de las redes y la seguridad de las mismas son en ci erto modo inseparables.

Las passwords o claves de acceso suelen ser uno de los puntos más vulnerables para atacar un sistema. Cuando se teclea una clave correcta el sistema interpreta que el usuario esta autorizado a hacerlo. En general, los usuarios no toman precauciones a la hora de definir sus claves de acceso, se están utilizando algunos programas que generan cadenas que no están en los diccionarios y que son fáciles de recordar para evitar que alguien descubra un montón de claves de una organización sin más que probar con todas las palabras que hay en un diccionario (eso sí, electrónico).

El comercio electrónico en Internet llegará a convertirse, a medio plazo, en un hecho tan habitual como el comercio convencional. Los medios de pago utilizados serán las tarjetas de débito y crédito, probablemente en una modalidad "inteligente".

Pero para que ello ocurra, es necesio que todos los actores que intervienen en el proceso adquieran la convicción de la seguridad de los diversos intercambios de información que tienen lugar, más aún si dicha información asume la representación de valores en la esfera de la circulación de las mercancías y el dinero.

Sin embargo, existe una segunda perspectiva para aquilatar debidamente el tema de la seguridad de los datos: la privacidad de las comunicaciones electrónicas es una extensión natural de los derechos individuales de libertad de expresión, intimidad, integridad, seguridad, propiedad intelectual y protección de la honra de las personas, reconocidos tanto en la Declaración Universal de los Derechos del Hombre como en las constituciones de la inmensa mayoría de los países del orbe.

Como fuere, el hecho es que desde el punto de vista técnico, la investigación y desarrollo, particularmente en las áreas de encriptación y cifrado de mensajes, ha proveído soluciones consistentes, sin perjuicio de que en materia de seguridad la prudencia aconseja considerar todo avance como un paso esencialmente trasitorio.

En términos genéricos, el objetivo de proteger la información apunta a obtener:

• Confidencialidad, esto es, que los mensajes transferidos o recibidos, sean secretos y nadie más que su legítimo destinatario tengan acceso a ellos.

• Disponibilidad, es decir, que los recursos estén disponibles cuando se necesiten, y que no se usen indebidamente o sin autorización de su autor.

• Integridad y confiabilidad, que consiste en la certeza que el mensaje transferido no ha sido modificado en ninguna parte del circuito o proceso de transferencia.

Por definición, el tema de la seguridad de los datos distingue tres niveles:

1. Seguridad a nivel de los sistemas.
2. Seguridad en recursos y servicios.
3. Se guridad de la información.

En el nivel de los sistemas, el administrador tiene la opción de arbitrar las siguientes medidas de seguridad:

• Control de password, o claves secretas de usuarios. Esto pasa por identificar passwords triviales o fáciles de detectar; manejar un sistema de passwords con tiempo de expiración; y detectar cuentas sin passwords, que generen alarmas ante fallas reiteradas de acceso.

• Control de usuarios , es decir, revisión periódica de las características del usuario en cuanto a los privilegios otorgados, al acceso a información que disponen, horario de conexión asignado, etc.

• Control de acceso, esto es, revisar periódicamentel cómo, el cuándo y desde dónde se puede acceder al sistema.

• Generación de reportes, que den cuenta de anomalías o problemas encontrados en cualquiera de los controles indicados anteriormente.

Las medidas de seguridad orientadas a proteger la red misma y los recursos y servicios involucrados tales como ancho de banda, tiempo de respuesta, acceso a servidores de la red, etc, consisten en la instalación de mecanismos o dispositivos denominados firewalls o cortafuegos, cuya función principal es mantener un control del acceso a la red y los recursos.

Existen tres tipos de firewalls:

Esquema básico de un firewall

1. Filtro de Paquetes:, que filtra sobre la base de la información contenida en un paquete, como por ejemplo port del servicio (FTP, SMTP, etc), tipo de protocolo (TCP, UDP, ICMP) o direcciones de origen y/o destino del paquete. Se puede realizar el filtro en la entrada, salida o en ambas partes. Se configura de acuerdo a un host, un conjunto de host o redes que pueden o no hacer uso de recursos o servicios en la red, también se puede restringir el conjunto de routers con los que se puede intercambiar información de ruteo. Normalmente este tipo de firewall se implementa en el router que hace de puerta de entrada a Internet. La filosofía de los firewalls de filtro de paquete es "todo lo que expresamente no sea permitido será prohibido", lo que lo hace ser muy restrictivo.
2. Gateway a Nivel de Circuito: que controla el acceso a la red según quién lo esté solicitando y el servicio de red que se provee, y retransmite conexiones TCP. El origen conecta un port TCP de la gateway, el cual conecta a su vez al destino solicitado, al otro lado de la gateway. El problema de este firewall es que sólo traspasa bytes desde el origen al destino y viceversa, por lo cual el usuario inadvertidamente puede subvertir el sistema de seguridad corriendo servicios de red en port no-standard.
3. Gateway a nivel de aplicación:, que es un mecanismo específico para una aplicación de red. Para cada servicio entre la red interna y externa se debe desarrollar una aplicación por lo que se restringe bastante el uso de servicios especiales o nuevos.

El nivel de seguridad de la información es probablemente el más importante, toda vez que es aquel en que mayor participación le cabe al usuario, y al igual que en los casos anteriores, distingue varias clases y niveles.

A nivel de protocolos, el protocolo IP provee dos header o encabezamientos de datagramas, destinados a la seguridad: el AH ( Authentication Header) y el ESP (Encapsulating Security Payload), cuyos detalles pueden encontrarse en el RFC 1825, Security Architecture for IP.

A nivel de transporte, Netscape propuso el estándar SSL (Secure Socket Layer), que genera un "túnel" virtual entre el cliente y el servidor, a través del cual circulan los datos, encriptados con el sistema DES, en condiciones de seguridad.

NETSCAPE (Un ejemplo de seguridad en buscadores)

• Netscape SSLREF

Es una implementación de la recomendación del protocolo 'Secure Sockets Layer' cuya finalidad es ayudar y acelerar los esfuerzos de los desarrolladores en proveer seguridad avanzada en las aplicaciones TCP/IP que utilicen SSL. SSLRef se compone de una librería, cuyo fuente se distribuye en ANSI C, que puede compilarse en una amplia variedad de plataformas y sistemas operativos y linkados con programas de aplicación. En la actualidad es de libre distribución para fines no comerciales.

• OPEN STANDARDS

La tecnología de seguridad en Internet desarrollada por Netscape para asegurar comunicaciones privadas y autentificadas (SSL, Secure Sockets Layer protocol) es una plataforma abierta de dominio público para la comunidad de Internet.

• ASPECTOS DE SEGURIDAD DE NETSCAPE

1. Tecnología de seguridad de Netscape

Las facilidades de seguridad integradas en 'Netscape Navigator' y 'Netscape Commerce Server' protege las comunicaciones por Internet con:

• Autentificación de Servidores
• Privacidad mediante encriptación.
• Integridad de los datos.

Sin una seguridad completa, la información transmitida en Internet es susceptible de intervención por intermediarios. La información que viaja entre nuestro computador y cualquier servidor utiliza un proceso de enrutamiento que la hace pasar por otros sistemas computadores de la red. Cualquiera de estos sistemas de computadoras representan intermediarios con el potencial de acceder al flujo de información entre nuestro computador y el servidor destino. Es necesario por ello métodos de seguridad que asegure que estos intermediarios no intervienen de alguna forma sobre nosotros. Internet por sí mismo no facilita esta seguridad.

El protocolo 'SSL' proporciona autentificación de servidores, encriptación de los datos e integridad de los mensajes. SSL se sitúa por debajo de los protocolos de aplicación, tales como HTTP, Telnet, FTP, Gopher, y N NTP, y por encima del protocolo de conexión TCP/IP. Esta estrategia permite a SSL operar de forma independiente a los protocolos de aplicación de Internet. Con SSL implementado en el cliente y en el servidor, las comunicaciones Internet son transmitidas de una forma encriptada, asegurando de esta forma la privacidad.

Con la tecnología de seguridad de Netscape, se puede confiar en que la información enviada llega de una forma privada y sin alterar al servidor especificado y no a ningún otro.

SSL utiliza la tecnología de autentificación y encriptación desarrollada por 'RSA Data Security Inc'. La encriptación establecida entre nosotros y un servidor remoto permanece válida a través de las múltiples conexiones, aún más, el esfuerzo utilizado en vencer la encriptación de un mensaje no afecta en el siguiente mensaje.

'Netscape Navigato y 'Netscape Commerce Server' incorporan autentificación de servidor utilizando firmas digitales certificadas facilitadas por terceras partes conocidas como 'autoridades certificadoras'. Un certificado digital verifica la conexión entre una clave pública de un servidor y la identificación del servidor. La criptografia comprueba, por medio de las firmas digitales, asegurando que la información dentro de un certificado puede ser autentificada.

2. Transmisión segura de Información Personal tal como tarjetas de crédito

Se puede introducir el número de la tarjeta de crédito en un formulario de 'Netscape' seguro (https) y transmitir el formulario en Internet a algún Servidor Netscape Comercial Seguro sin riesgo de que en algún punto intermedio se obtenga el número de la tarjeta de crédito.

Las facilidades de seguridad ofrecidas por la tecnología de comunicaciones Netscape protege las transacciones comerciales, además de otras comunicaciones.

Las comunicaciones seguras no eliminan todo lo concerniente a los usuarios de Internet. Los administradores de los servidores deben tomar precauciones adicionales para prevenir agujeros en la seguridad. Para proteger nuestra información en dichos servidores, ellos deben mantener la seguridad física de sus servidores y controlar el acceso mediante claves privadas.

3. Información facilitada por Netscape sobre seguridad.

Netscape identifica a los documentos seguros de diferentes formas. Se puede conocer cuando un documento procede de un servidor seguro observando el campo de localización (URL). Si la URL comienza con "https://" en lugar de "http://", sabemos que el documento procede de un servidor "seguro".

Se necesita utilizar https:// para las URLs HTTP con SSL y http:// para las URLs HTTP sin SSL.

Además se puede verificar la seguridad de un documento examinando el icono de seguridad de la esquina inferior-izquierda de la pantalla principal de Netscape y la barra de color situada por encima del área de contenido.



El icono consiste en una llave con un fondo azul para los documentos seguros y una llave rota con fondo gris para los documentos no seguros



Un documento que contenga ambas, información segura y no segura, se muestra como seguro, con la información no segura reemplazada por una icono de seguridad mixta. Algunos servidores pueden permitirnos acceder a los documentos no seguros (utilizando "http://") permitiéndonos visualizar documentos mixtos sin sustitución por icono.

Podemos obtener información más detallada sobre la seguridad seleccionando la opción de menú File/Document Information. Varias cajas de diálogo de notificación nos informaran cuando entremos o abandonemos un espacio seguro. Siempre seremos avisados si un URL seguro es redireccionado a una localización no segura, o si submitimos un formulario seguro utilizando un proceso de submisión no seguro.

4. Información facilitada por la opción 'Document Information'

&sp;

Seleccionando el ítem de menú File/Document Information visualiza una caja de diálogo que muestra la siguiente información sobre el documento en uso:

• Titulo del documento.
• Localización (URL).
• Fecha de la última modificación.
• Juego de caracteres.
• Estatus de seguridad.

Los documentos seguros especifican el tipo de encriptación que protege al documento y la versión, número de serie, distribuidor y el servidor sujeto del certificado devuelto por el documento.

Encryption Key

Tipo de clave pública soportada.

Subject (server id)

El proceso de solicitud de certificación requiere del administrador de cada servidor que facilite la dirección e-mail y cierta información de identificación. Esta información de identificación puede incluir:

• Country (C): Código del país.
• State or Province (ST): Nombre del Estado o Provincia.
• Organization (O): Nombre de la organización.
• Organizational Unit (OU): Nombre del departamento (opcional).
• Locality (L): Localidad
• .Common Name (CN): Nombre del servidor.

Issuer (certifier id)

Identifica la autoridad que entrega el certificado. La información de identificación se presenta utilizando las mismas abreviaciones que las utilizadas para identificar al servidor. (C, para el país, etc.).

2. Firma Digital

Para operar utilizando las facilidades de seguridad, 'Netscape Commerce Server' necesita de un certificado de firma digital. Sin el certificado, el servidor puede únicamente operar en forma no segura.

'Netscape Communications' ha contratado los servicios de 'RSA Certificate Services', una división de la empresa 'RSA Data Security, Inc.', para distribuir certificados a los clientes del producto 'Netscape Server'. Durante el proceso de solicitud, el software de nuestro servidor genera una pareja de claves pública/privada y se elige un nombre. El formulario en línea nos guía a través del proceso de submitir el proceso a RSA.

RSA verifica la autenticidad de cada solicitud de certificado. Una vez autentificado, RSA nos devuelve vía e-mail un certificado firmado digitalmente único. Una vez recibido se puede instalar la firma y activar la seguridad. Los certificados estás protegidos por una pareja de claves públicas y privadas ligadas a un potente algoritmo criptográfico. Se deberá establecer precauciones adecuadas para mantener la integridad de la firma y nuestra clave privada.

Técnicamente, un certificado puede utilizarse en múltiples servidores, aunque en muchas circunstancias pueden aparecer riesgos que nos hagan abandonar esta elección. Si se utiliza el mismo certificado en múltiples servidores, algún problema con la pareja de claves pública y privada, puede poner en peligro al resto servidores.

De forma similar ocurre si deseamos utilizar la misma llave de seguridad para la casa, la oficina, el coche, etc. Sólo utilizamos una llave, pero no tenemos la flexibilidad de proveer el acceso a uno de estos elementos sin proveer de acceso a todos los demás. Si se compromete la seguridad de un elemento, comprometerá la seguridad del resto.

3. Limitaciones impuestas por la seguridad

El protocolo de seguridad trabaja como un añadido a los otros protocolos sin limitar las capacidades de acceso. Se puede utilizar Netscape para traer documentos seguros y no seguros. La seguridad no limita las capacidades de noticias Usenet o correo electrónico.

Si un documento que es seguro contiene información que no es segura, la información insegura es reemplazada por un icono de seguridad mixta. Aunque, un servidor puede permitirnos saltarnos esta facilidad de seguridad accediento al documento de seguridad mixta a través del protocolo no seguro http en lugar de con el protocolo https. Los aspectos de seguridad de SSL nos protegen de transmisiones inseguras, pero no limita la capacidad de recibir transmisiones inseguras.

Los formularios en línea pueden 'asegurarse' si la acción de submitirlos es un URL https:// hacia un servidor seguro. Netscape utiliza las cajas de dialogo para informarnos acerca del status de seguridad del proceso de submision al submitir un formulario.

Se puede salvar un documento seguro (los documentos seguros no son cacheados a disco durante la sesión). También puede verse el HTML fuente de un documento seguro. La seguridad afecta a la transmisión de un documento sin afectar la capacidad de manipularlo.

De forma sencilla, la Entidad de Certificación es un servidor de credenciales, que garantiza que cada usuario es quien dice ser, y que pueden utilizarse sin restricciones elementos criptográficos que garantizan la confidencialidad.

Algunos de los protocolos utilizados son SSL (Secure Sockets Layer), PEM (Private Enhanced Mail) y S/MIME (Secure/Multipurpose Internet Mail Extension), ya soportados por un buen número de programas visualizadores y de programas de correo. Para el buen funcionamiento de estos sistemas, es necesario contar con un procedimiento que permita verificar fehacientemente la identidad de los usuarios y de otorgar un certificado electrónico que vincula los datos de los usuarios con su clave pública.

En el caso de FESTE, son los Corredores de Comercio y los Notarios los encargados de verificar la identidad de las Entidades en las que se instalan los equipos (en el caso de los servidores), o de las personas que intercambian correo seguro (en el so de browsers , o programas de correo)

La Entidad de Certificación debe ser una Entidad de Confianza (Trusted Third Party), Conocida ampliamente, cuya Política de Certificación incluya cláusulas aceptables por los diferentes interlocutores, que permita, entre otras cosas, la Verificación de identidad, que dé información sobre Uso y validez de los certificados y que realice Gestión de certificados revocados (para impedir que claves privadas expuestas puedan tener vigencia) y ofrezca la Lista de certificados expedidos

Dado que en una red existe más de una Entidad de Certificación, la selección de las autoridades de certificación adecuadas para cada uso vendrá dada por las características de su Política de Certificación, o por la el reconocimiento de alguna de ellas por parte de entidades que aceptan sus certificados. Se están desarrollando sistemas jerárquicos en los cuales todas las autoridades de certificación que pertenezcan a una jerarquía dada puedan realizar certificaciones mutuas.

Los parámetros que definen a una Entidad de Certificación son su dirección de red (nombre distinguido, por ejemplo www.FESTE.com) y su clave pública. Además es necesario especificar en su identificación: Entidad Emisora del Certificado, Departamento u Organización responsable de la custodia de la clave privada y Ubicación (Ciudad, País).

Puesto que al realizar la comprobación de la identidad del usuario en la primera certificación es necesario realizar unas actividades especiales, la Entidad de Certificaci&oa cute;n lleva asociada una Entidad de Registro.

Esta Entidad de Registro mantiene información sobre los aspectos relevantes del registro y sobre los procedimientos de identificación utilizados, así como la vinculación del registro con la identidad que garantiza la Entidad de Certificación.

Además de este tipo de Entidades de Registro, existen otras, que demuestran la realización en el tiempo de determinados Actos Electrónicos: Certificaciones en presencia de un fedatario (como en el caso de contratos firmados ante notario), Certificaciones de Acreditación respecto a la capacidad suficiente para obrar o para representar a terceros, Registro de contratos o transmisiones patrimoniales.

Algunas de estas entidades tienen actividades independientes y adicionales a las de las autoridades de certificación, que se centran en la Autenticación de los Intervinientes y las funciones derivadas.

FESTE distingue dos tipos de Entidades de Registro: Entidades con capacidad contrastada de verificación de identidad de sus propios clientes o empleados (entidades financieras, proveedores de Internet, …), con capacidad de activar la emisión de certificados de Nivel 1 (Certificados Registrados), o Fedatarios, con la misión de verificar de forma incuestionable la identidad y capacidad de actuar de cualquier solicitante, y con capacidad de activar la emisión de certificados de Nivel 2 (Certificados Autenticados). Existen también los certificados de Nivel 0, destinados a pruebas.

Una vez que se ha decidido activar el modo seguro de los servidores web, es preciso generar la pareja de claves que constituye el componente criptográfico básico del protocolo SSL, basado en criptografía de clave pública.

El procedimiento consiste básicamente en tres pasos:

•Generación de la solicitud,

•Acreditación ante la Entidad de Registro

•Obtención del Certificado e instalación

Para generar la solicitud, debe ejecutarse la opción correspondiente del software servidor (algunos de los que disponen modo seguro son FasTrack de Netscape, Internet Information Server de Microsoft, Secure Server de Oracle, o el popular Apache el más instalado sobre plataformas Linux), el cual influirá en los pasos concretos a seguir.

Estos pasos deben permitir generar las claves criptográficas, rellenar un formulario con los datos que formarán parte del certificado, obtener la solicitud en un formato compatible (DER o PEM) y enviarlo por correo electrónico a la Entidad de Certificación.

En algunos casos, como por ejemplo, con Microsoft Internet Information Server, es preciso obtener previamente el certificado de la Entidad de Certificación (en formato DER), lo que debe llevarse a cabo mediante Microsoft Internet Explorer, puesto que comparten la estructura de datos de almacenamiento de certificados. Existe una pequeña diferencia en caso de utilizar IIS 4.0, ya que para activar los Certificados del Explorer en el Server, existe una utilidad denominada IISCA en el directorio win\System32\InetSrv.

Tras enviar la solicitud de certificado a la Entidad de Certificación, debe procederse al registro. El Registro consiste en verificar la identidad del solicitante, comprobando la a decuada cumplimentación de los datos del formulario. En el caso de FESTE, la Entidad de Registro puede ser cualquiera de los Notarios o Corredores de Comercio españoles, lo que proporciona un elevado nivel de reconocimiento.

Cuando la Entidad de Registro comprueba los datos, permite que la Entidad de Certificación genere el certificado y lo envíe por correo electrónico. En ocasiones, la Entidad de Certificación proporciona un enlace al URL en el que se ha depositado, permitiendo la comunicación de información complementaria. Una vez en posesión del certificado, puede instalarse en el servidor, con lo queda listo para establecer comunicaciones seguras.

Si los requerimientos de seguridad exigen la autenticación del usuario (a través del Explorer o el Navigator), es preciso instalar certificados personales para cada uno de l usuarios que sea preciso autenticar.

Los pasos a seguir son, en esencia, los mismos que en el caso de servidores, aunque se activan de forma un poco diferente a la de aquellos. Habitualmente los servidores web de la Entidad de Certificación describen el proceso e incluyen las explicaciones y el software necesario para activar la generación de claves en el browser. En el caso de Explorer, se encargan de cargar las DLL correspondientes (CERTENR3.DLL en la versión 3.0 de MSIE y XENROLL.DLL en el IE 4.0) que hacen un poco más complicado el proceso de solicitud de certificado.

Una vez generada, sobre el web, la solicitud de certificado, hay que acudir a la Entidad de Registro (Corredor de Comercio o Notario) para que compruebe la veracidad de los datos y autorice la generación de certificado. 

La Entidad de Certificación enviará un correo electrónico indicando la disponibilidad del certificado que podrá obtenerse a través del propio servidor web.

La ventaja de los certificados de cliente es que pueden ser utilizados tanto para autenticación de usuarios, cuando están accediendo a un servidor web, como para cifrar y firmar correo electrónico, apoyados en la codificación S/MIME (extensiones de seguridad de Correo Elecrón

Por último, para que las comunicaciones viajen protegidas por algoritmos criptográficos, es preciso instalar software servidor equipado con SSL , y preparar los Certificados que lo habilitan con una Entidad de Certificación adecuada.