(Última revisión de contenido: Julio 2020)
¿Para qué sirven los certificados?
En una publicación anterior vimos qué son los certificados digitales y cómo pueden garantizar que un sujeto, sea un servidor, empresa o una persona, sea realmente quién y qué dice ser, protegiendo los datos intercambiados a través del cifrado de claves asimétrica.
Los certificados digitales representan la garantía de correspondencia entre un par de claves asimétricas y un sujeto, y pueden emitirse para identificar:
- Un sujeto: en este caso, el certificado permite el acceso a servidores que requieren autenticación de personas físicas y jurídicas a través de un certificado.
- Prestador de servicios electrónicos de confianza: son certificados que dan fe de la identidad de una Prestador de servicios electrónicos de confianza.
- Un sitio web: garantiza que el servidor que responde corresponde al dominio certificado, lo que permite la identificación de servidores que utilizan un protocolo de comunicación seguro como SSL. En general, este tipo de certificado se utiliza para sesiones seguras para sitios web, enviar información del cliente, enviar información de pago y en sesiones seguras para intranets.
- Un software: este certificado identifica al fabricante del software distribuido a través de Internet, garantizando su origen.
¿Qué se entiende por revocación o suspensión de un certificado?
El titular de un certificado digital puede decidir suspender o revocar su certificado en cualquier momento una vez generado.
- La suspensión es una medida que modifica la validez de un certificado digital y hace que las firmas realizadas a posteriori de la fecha de suspensión sean inválidas. También se puede solicitar una suspensión temporal a la Prestador de servicios electrónicos de confianza; Una vez que finaliza el período de suspensión, el certificado se reactiva.
- La revocación, por otro lado, es una disposición definitiva que puede solicitarse por razones tales como: pérdida, robo, variación de los datos informados en los certificados digitales, compromiso de la clave privada, fallo del dispositivo de firma.
Para ambas medidas, es necesario contactar con el Prestador de servicios electrónicos de confianza que emitió el certificado que suspenderá o revocará el certificado digital y procederá a insertarlo en la CRL: lista de certificados digitales revocados y suspendidos.
¿Cómo obtener, suspender o revocar un certificado digital?
Los certificados digitales deben ser emitidos por Prestador de servicios electrónicos de confianza. Es decir, un tercero de confianza que desempeña un rol garante que verificará, por los medios apropiados y de acuerdo con el marco normativo nacional, la identidad y, si procede, cualquier atributo específico del sujeto a quien se expide un certificado.
Los Prestadores de servicios electrónicos de confianza para la emisión de certificados tienen las siguientes funciones:
- Autenticación de la identidad de los solicitantes.
- Validación de solicitudes de certificado.
- La expedición de certificados.
- Mantenimiento del registro de clave pública.
- Gestión del ciclo de vida del certificado: Revocación o suspensión.
La emisión de un certificado digital debe estar precedida por una fase de registro del solicitante. Esta fase, se puede realizar a través de las oficinas de registro (o por vía telemática en los países que sea permitido), donde personal capacitado adecuadamente realiza la función de identificación y registro de datos.
Un certificado generalmente contiene:
- Información del propietario. Este campo dependerá del tipo de certificado, variando en el caso de una persona física, un servidor web o una persona jurídica.
- La clave pública del propietario
- La fecha de caducidad de la clave pública;
- El nombre de la PSC que emitió el certificado;
- La firma electrónica de la PSC que emitió el certificado.
La importancia de la validación
Conviene aclarar que existen dos procesos, que a menudo se mezclan o confunden: Validación del certificado digital y Validación de la firma.
- Validación del certificado es un proceso, generalmente automático, que verifica si el certificado digital asociado a la clave privada del firmante era válido en el momento en el que se produjo la firma electrónica. Esta verificación se produce consultando una lista de certificados revocados (CRL) o mediante una consulta en línea (OCSP) al servicio de Validation Authority del Prestador de Servicios de Confianza.
-
Validación de la firma: Es el proceso completo que incluye las siguientes validaciones:
- Valida que el procedimiento y el emisor del certificado digital y de los datos de creación de la firma hayan sido emitidos por un Prestador Cualificado de Servicios de Confianza, debidamente acreditado para tal fin.
- Verifica que el certificado digital asociado del firmante era válido en el momento en el que se produjo la firma electrónica.
- Determina la integridad de la información firmada electrónicamente, verificando que no haya sido alterada después de la firma electrónica.