Habilitar S/MIME alojado para aumentar la seguridad de los mensajes

Esta función solo está disponible en G Suite Enterprise y en G Suite para Centros Educativos.

Puedes aumentar la integridad y confidencialidad de los mensajes de correo electrónico de tu organización; solo tienes que habilitar extensiones seguras multipropósito de correo de Internet (S/MIME). Para que funcione el cifrado S/MIME, todos los remitentes y destinatarios deben tenerlo habilitado. Además, deben intercambiar cierta información, denominada "claves", para identificarse de forma única.

También puedes asegurarte de que no se envíen ni reciban determinados mensajes a menos que estén cifrados o firmados con S/MIME. Consulta más información sobre cómo configurar reglas de cumplimiento y enrutamiento y cómo aumentar la seguridad de los mensajes con S/MIME alojado. 

Para obtener más información sobre la compatibilidad de clientes y esta función de cifrado más seguro, consulta el artículo Preguntas frecuentes sobre S/MIME alojado.

Configurar S/MIME alojado

Primero, tienes que habilitar S/MIME en la consola de administración de Google. Después, tendrás que subir certificados a Gmail, ya sea automáticamente o mediante la configuración de este servicio.  Los usuarios verán el cambio cuando vuelvan a cargar Gmail. También puedes permitir que sean los usuarios quienes suban sus propios certificados y los intercambien entre ellos para hacer que S/MIME funcione.

Paso 1: Habilitar S/MIME alojado

Si sigues los pasos que se indican a continuación, puedes habilitar S/MIME y utilizar los controles avanzados de certificados S/MIME de confianza para subir y gestionar certificados raíz.

  1. Inicia sesión en tu Consola de Administración de Google.

    Inicia sesión con tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones a continuación G Suite a continuación Gmail a continuación Configuración de usuario.
  3. En la parte izquierda, en Organizaciones, selecciona el dominio o la organización que quieres configurar.

    Importante: Si vas a configurar controles avanzados de S/MIME para subir y gestionar certificados raíz, debes seleccionar el nivel organizativo superior (normalmente, tu dominio).

  4. Desplázate hasta la configuración de S/MIME y marca la casilla Habilitar el cifrado S/MIME para enviar y recibir correos electrónicos.

  5. (Opcional) Si quieres permitir que los usuarios suban certificados, activa la casilla Permitir que los usuarios suban sus propios certificados.

  6. (Controles adicionales opcionales) Si quieres subir y gestionar certificados raíz, usa los controles de certificados de confianza S/MIME: 

    1. Junto a Acepta estos certificados raíz adicionales para dominios específicos, haz clic en Añadir.
    2. Haz clic en Subir certificado raíz
    3. Busca y selecciona el archivo del certificado y haz clic en Abrir. Debe aparecer un mensaje de verificación con el nombre de sujeto y la fecha de vencimiento. Si se produce una incidencia con el certificado, aparece un mensaje de error. 
    4. En Nivel de cifrado, selecciona el nivel de cifrado que quieres usar en el certificado.
    5. En Lista de direcciones, indica al menos un dominio que usará el certificado raíz al comunicarse. Los nombres de dominio pueden incluir comodines que cumplan el estándar RFC. Si introduces más de un dominio, sepáralos por comas. 
    6. Haz clic en Guardar.
    7. Repite estos pasos para añadir más cadenas de certificados.
  7. Marca la casilla Permitir el uso de SHA-1 de forma global (no recomendado) solo si es necesario utilizar el Algoritmo de hash seguro 1 (SHA-1) en tu dominio u organización. 
  8. Haz clic en Guardar.  

Importante: Los cambios pueden tardar hasta una hora en aplicarse en todas las cuentas de usuario. Los mensajes que se envíen durante este tiempo no estarán cifrados, tal como pasa cuando inhabilitas y vuelves a habilitar S/MIME.

Paso 2: Hacer que los usuarios vuelvan a cargar Gmail

Cuando S/MIME alojado esté habilitado, haz que los usuarios vuelvan a cargar Gmail para que vean el cambio. Una vez que lo hayan hecho, aparecerá un icono de candado en la línea de asunto de los mensajes de correo electrónico. Si el mensaje está cifrado con S/MIME alojado, el candado será de color verde.

Paso 3: Subir certificados

Para utilizar el cifrado S/MIME alojado, los certificados de usuario final S/MIME deben subirse a Gmail. El certificado debe cumplir los estándares de cifrado y utilizar el formato de archivo Public Key Cryptography Standards (PKCS) #12 (una sintaxis de transferencia de información de identidad personal). El Grupo de trabajo de ingeniería de Internet (IETF) ofrece más información sobre PKCS #12.

La lista de certificados de confianza proporcionada y mantenida por Google solo sirve para Gmail en el caso de S/MIME. La lista de las autoridades de certificación (CA) se considera de confianza únicamente a discreción de Google, que se reserva el derecho de quitar CA raíz a voluntad, tenga o no un motivo.

Recomendamos que los administradores suban certificados automáticamente con la API Gmail S/MIME. Con esta API, también se pueden llevar a cabo diferentes tareas de gestión como, por ejemplo, consultar, eliminar o definir claves de usuario predeterminadas. Los usuarios con permiso para subir certificados pueden hacerlo en la configuración de Gmail. 

Para subir un certificado en Gmail, sigue estos pasos:

  1. En la bandeja de entrada de Gmail, selecciona Configuración a continuación Configuración.
  2. Haz clic en la pestaña Cuentas
  3. En el área Enviar como, haz clic en editar información

    Aparece una ventana con una opción de cifrado mejorado (S/MIME). Para que aparezca esta opción, tanto S/MIME como la opción Permitir que los usuarios suban sus propios certificados deben estar habilitados en la consola de administración.  

  4. Haz clic en Subir un certificado personal.
  5. Selecciona el certificado y haz clic en Abrir. Al hacerlo, se te solicitará que introduzcas una contraseña.
  6. Introduce la contraseña y haz clic en Añadir certificado.

Paso 4: Hacer que los usuarios intercambien claves

Para intercambiar claves con los destinatarios de correo, tus usuarios tienen estas opciones: 

  • Enviar un mensaje S/MIME firmado a los destinatarios. El correo electrónico se firmará digitalmente. La firma incluirá la clave pública del remitente. Con esta clave, los destinatarios podrán cifrar los correos electrónicos que envíen a tus usuarios.
  • Pedir a los destinatarios que les envíen un mensaje. Cuando reciban el mensaje, estará firmado con S/MIME. La clave se almacenará y estará disponible automáticamente. A partir de entonces, los mensajes enviados a este destinatario se cifrarán con S/MIME.

Después de habilitar S/MIME alojado

Una vez que hayas habilitado S/MIME alojado, puedes asegurarte de que no se envíen o reciban determinados mensajes a menos que estén cifrados o firmados con S/MIME. Debes configurar esta opción al crear reglas de cumplimiento y enrutamiento. Más información sobre cómo mejorar la seguridad de los mensajes con S/MIME alojado y reglas 

Puedes suavizar algunas restricciones de seguridad para adaptarte a la infraestructura S/MIME de tu dominio. Por ejemplo, puedes subir CA raíz que no se ajusten a las directrices de seguridad predeterminadas más estrictas. 

Controles avanzados de certificados de confianza S/MIME

Para que Google acepte certificados S/MIME, estos deben cumplir un conjunto de requisitos. Sin embargo, es posible que tus certificados no satisfagan estos requisitos y, según la configuración que tengas, puede que detectes que ciertos correos electrónicos no son de confianza. En ese caso, puedes optar por aceptar otros certificados raíz de CA de tu confianza.

Para aceptar otro certificado raíz, súbelo e indica al menos un dominio al que aplicar el certificado. También puedes ajustar el nivel de cifrado del certificado o el perfil de validación, si fuera necesario.

Directrices de certificados raíz

Generar el archivo de certificado para subirlo

Directrices de certificados

  • Los certificados deben estar en formato .pem y solo pueden contener una raíz.
  • Las cadenas de certificados deben incluir como mínimo un certificado intermedio.
  • También debe proporcionarse un certificado de usuario final por cadena de certificados. Si no se incluye, Google solo hace una verificación mínima.
  • Los certificados de usuario final no deben incluir la clave privada.

Importante: Debe haber al menos un certificado de una CA intermedia en las cadenas. Es decir, la raíz no debe emitir directamente certificados de entidad final.

La lista de certificados de confianza proporcionada y mantenida por Google solo sirve para Gmail en el caso de S/MIME. La lista de las autoridades de certificación (CA) se considera de confianza únicamente a discreción de Google, que se reserva el derecho de quitar CA raíz a voluntad, tenga o no un motivo.

Solucionar problemas de subida

Para identificar y resolver errores de subida, comprueba lo siguiente:

  • El certificado no cumple con los requisitos mínimos para que sea de confianza. Verifica que incluya una firma automática, que no se haya revocado y que la longitud de la clave no sea inferior a 1024 bits. A continuación, inténtalo de nuevo.
  • El certificado tiene una firma que no es válida. Verifica que tenga una firma válida e inténtalo de nuevo.
  • El certificado ha caducado. Verifica que tenga una fecha válida que no esté en el pasado ni en el futuro, e inténtalo de nuevo.
  • La cadena de certificados subidos contiene como mínimo uno que no es válido. Verifica que el formato del certificado sea correcto e inténtalo de nuevo.
  • El certificado subido contiene varios certificados raíz. Verifica que tenga solo un certificado raíz e inténtalo de nuevo.
  • No se ha podido analizar el certificado. Verifica que el formato del certificado sea correcto e inténtalo de nuevo.
  • El servidor no ha podido analizar el certificado o ha emitido alguna respuesta desconocida. Verifica que el formato del certificado sea correcto e inténtalo de nuevo.
  • No se ha podido subir el certificado. Se ha producido un problema al comunicarse con el servidor. Probablemente se trate de un problema temporal; espera unos minutos e inténtalo de nuevo. Si aun así no puedes subirlo, asegúrate de que el certificado tenga el formato correcto.
  • Edita un certificado raíz. Puedes editar un certificado para cambiar los dominios de la lista de direcciones. Por ejemplo, si has subido certificados personalizados y todavía se considera que tus mensajes no son de confianza, prueba a cambiar la lista de dominios permitidos.

Cambiar los dominios de la lista de direcciones

  1. En la lista de certificados raíz adicionales, selecciona el certificado que quieras cambiar y haz clic en Editar
  2. Realiza los cambios oportunos y haz clic en Guardar.

Nota: No puedes cambiar la fecha de vencimiento de un certificado ni editarlo para reemplazarlo. Tienes que eliminarlo y subir otro. Eliminar certificados raíz no afecta a ningún certificado de usuario final que ya se haya subido.

Eliminar certificados raíz

En la lista de certificados raíz adicionales, selecciona el certificado que quieras cambiar y haz clic en Eliminar.

Cuándo deberías permitir el uso de SHA-1

Es posible que algunos clientes de correo electrónico distintos a Gmail permitan firmas con hash SHA-1. De forma predeterminada, estas firmas no son de confianza, ya que SHA-1 es una función de hash que se ha ido desactivando gradualmente por motivos de seguridad. Solo deberías seleccionar la opción "Permitir el uso de SHA-1 de forma global (no recomendado)" si tu organización se comunica mediante la función de hash de cifrado SHA-1 para proteger los mensajes mediante S/MIME y quieres que estas comunicaciones se consideren de confianza. Con esta opción seleccionada, Gmail confía en los certificados S/MIME adjuntos a los correos entrantes de entidades que utilizan este algoritmo obsoleto.

¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?