La Web PKI es una infraestructura de clave pública descentralizada y jerárquica que establece un marco de confianza para la autenticación de entidades (principalmente sitios web) y el cifrado de comunicaciones en la World Wide Web. Se basa en el uso de certificados digitales X.509, emitidos por Autoridades de Certificación (CAs) de confianza, que vinculan una clave pública a una identidad verificada. Los navegadores web y sistemas operativos mantienen una lista de CAs raíz de confianza, y cualquier certificado emitido por una de estas CAs, o por una CA intermedia cuya cadena de confianza se remonta a una raíz confiable, es considerado válido. Este sistema permite a los usuarios verificar que están interactuando con el sitio web legítimo y que sus comunicaciones están protegidas mediante TLS/SSL.
La Web PKI es fundamental para el funcionamiento de Internet moderno. Todos los sitios web que utilizan HTTPS (HTTP Secure) dependen de ella para establecer conexiones seguras. Ejemplos concretos incluyen navegadores web como Chrome, Firefox y Safari, que implementan la lógica de validación de certificados; sistemas operativos como Windows, macOS y Linux, que gestionan los almacenes de confianza de CAs raíz; y servicios en la nube como AWS Certificate Manager (ACM) o Google Cloud Certificate Authority Service, que facilitan la gestión y emisión de certificados para sus usuarios. Además, herramientas como OpenSSL son ampliamente utilizadas para la generación, gestión y verificación de certificados dentro de este ecosistema.
Para un arquitecto, la Web PKI es crucial para diseñar sistemas seguros y confiables. Entender sus principios permite tomar decisiones informadas sobre la implementación de TLS/SSL, la gestión de certificados (adquisición, renovación y revocación), y la configuración de políticas de seguridad. Los trade-offs incluyen el costo y la complejidad de la gestión de certificados (especialmente en entornos de microservicios o con dominios múltiples), la elección entre CAs públicas y privadas, y la mitigación de riesgos asociados a la revocación de certificados o la emisión de certificados fraudulentos. Un diseño robusto debe considerar la automatización de la gestión de certificados (por ejemplo, con Let's Encrypt o servicios de CA gestionados), la implementación de HSTS (HTTP Strict Transport Security) para forzar el uso de HTTPS, y la monitorización de la validez de los certificados para evitar interrupciones del servicio y brechas de seguridad. La confianza en la Web PKI es un pilar de la seguridad en la nube y las aplicaciones distribuidas.