Este es un comentario que puse en Foros Internet el 21 de marzo de 2004, cuando acababa de entrar en vigor la Ley 59/2003 de Firma Electrónica, y en el que proponía un acuerdo sobre los OID en los certificados. Poco se ha avanzado en este tiempo.

El despliegue de sistemas de certificación diseñados para dar soporte a certificados reconocidos («qualified certificates» según la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica) introduce algunos retos tales como el consenso sobre los formatos que deben de cumplir los certificados reconocidos.

En un primer nivel, deben seguirse las normas siguientes:

– ETSI TS 101 862 (Qualified certificate profile)
– http://www.ietf.org/rfc/rfc2459.txt (Internet X.509 Public Key Infrastructure. Certificate and CRL Profile)
– http://www.ietf.org/rfc/rfc3739.txt (Internet X.509 Public Key Infrastructure. Qualified Certificates Profile)
– http://www.ietf.org/rfc/rfc3280.txt (Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL) Profile)

En este sentido aparece una cierta homogeinización sobre la forma de gestionar los certificados, más allá de lo que define el estándar X.509V3.

Sin embargo también es necesario consensuar la forma de referirse a determinados atributos de las personas a las que se emiten los certificados «cualificados», de forma que no se haga en exceso compleja la tarea de los terceros que confían en los certificados.

Entre los atributos que hay que homogeneizar cabe relacionar (sin caracter de exhaustividad) los siguientes:

• DNI
•  NIF
•  Número de tarjeta de residente
•  Número de licencia de conducir
•  Número de IVA según la VI Directiva (del IVA)
•  Número de la Seguridad Social para empresas
•  Número de la Seguridad Social para personas
•  Número de empleado
•  Referencia de Inscripción de un poder en el Registro Mercantil
•  Número de Colegiado
•  Número de Póliza de Seguro

A esta lista habrá que añadir todavía una larga serie de datos de interés en los procesos de identificación en los que se emplean certificados.

La forma de homogeneizar el tratamiento de esta información entre los diferentes Prestadores de Servicios de Certificación puede tener dos lineas de acción:

• Recopilar de cada organismo encargado de gestionar el dato en el mundo real, el OID correspondiente para el mundo real (por ejemplo, la Agencia Estatatal de Administración Tributaria ha definido el NIF de la persona que custodia un certificado de Persona Jurídica: 1.3.6.1.4.1.18838.1.1)
• Coordinar en un único organismo la atribución de significado a los diferentes OIDs requeridos para ser usados por todos los PSC (este es uno de los roles que podría asumir AECODI, cuyo identificativo como oficina de asignación de OID es 1.3.6.1.4.1.19126)

En todo caso, la entrada en vigor de la ley 59/2003 es una excelente oportunidad para que los Prestadores de Servicios de Certificación se coordinen.