Durante el fin de semana del 4 y 5 de noviembre de 2023 se ha publicado un «Joint Statement» impulsado por Mozilla e Internet Society, como parte de su esfuerzo de influenciar el desarrollo legislativo del Reglamento EIDAS2 en fase de Trílogos.

Entre otras afirmaciones, dice:

«Después de leer el texto casi definitivo, estamos profundamente preocupados por el texto propuesto para el artículo 45. La propuesta actual amplía radicalmente la capacidad de los gobiernos para vigilar tanto a sus propios ciudadanos como a los residentes en toda la UE, proporcionándoles los medios técnicos para interceptar el tráfico web cifrado, además de socavar los mecanismos de supervisión existentes en los que confían los ciudadanos europeos»

El artículo 45 se formuló de la siguiente forma en la versión inicial de la propuesta de reglamento:

«Artículo 45

Requisitos de los certificados cualificados de autenticación de sitios web

1. Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. Se presumirá el cumplimiento de los requisitos establecidos en el anexo IV cuando un certificado cualificado de autenticación de sitios web se ajuste a las normas a que se refiere el apartado 3.
2. Los navegadores web reconocerán los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1. Con este fin, los navegadores web garantizarán que los datos de identificación proporcionados mediante cualquiera de los métodos se muestren al usuario de un modo fácil de entender. Los navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1, con la excepción de las empresas consideradas microempresas y pequeñas empresas de conformidad con la Recomendación 2003/361/CE de la Comisión en sus primeros cinco años de actividad como prestadores de servicios de navegación web.
3. Dentro de los doce meses siguientes a la entrada en vigor del presente Reglamento, la Comisión dispondrá, por medio de actos de ejecución, las especificaciones y los números de referencia de las normas para los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»

A lo largo del proceso legislativo se han propuesto algunos cambios, entre otras razones porque la actuación del lobby no es de ahora y se pensó en aceptar lo aceptable de sus planeamientos. Al inicio de los debates de los trílogos (en marzo de 2023) el texto propuesto era:

«Article 45

Requirements for qualified certificates for website authentication

1. Qualified certificates for website authentication shall allow the authentication and identification of the natural or legal person to whom the certificate was issued with a high level of assurance. Qualified certificates for website authentication shall also meet the requirements laid down in Annex IV. Qualified certificates for website authentication shall be deemed compliant with this paragraph and the requirements laid down in Annex IV where they meet the standards referred to in paragraph 3.
2. Qualified certificates for website authentication referred to in paragraph 1 shall be recognised by web-browsers. Web browsers shall not be prevented from taking measures that are both necessary and proportionate to address substantiated risks of breaches of security, user’s privacy and loss of integrity of certificates provided such measures are duly reasoned. In such a case, the web browser shall notify the Commission, ENISA and the qualified trust service provider that issued that certificate or set of certificates without delay of any measure taken. Such recognition means that web-browsers shall ensure that the relevant identity data and electronic attestation of attributes provided is displayed in a user friendly manner, where possible, consistent manner, that reflects the state-of-the-art regarding accessibility, user awareness and cybersecurity according to best industry standards. Web-browsers shall ensure support and interoperability with qualified certificates for website authentication referred to in paragraph 1, with the exception of enterprises, considered to be microenterprises and small enterprises in accordance with Commission Recommendation 2003/361/EC in the first 5 years of operating as providers of web-browsing services.
3. By … [12 months after the date of entry into force of this amending Regulation], the Commission shall, by means of implementing acts, provide the specifications and reference numbers of standards for qualified certificates for website authentication referred to in paragraph 1 and 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).»

El texto final se ha acordado en los debates de trílogos y la reunión final para decidir su aprobación está prevista para el miércoles 8 de noviembre, bajo la presidencia española. No sé exactamente el texto acordado pero será parecido al ya indicado.

El debate ha dado lugar a un documento específico del Parlamento Europeo analizando las distintas posiciones. Es de enero de 2023.

La dureza (y falsa información) del ataque de Mozilla e «Internet Society» ha motivado que un grupo de prestadores de servicios de certificación europeos («European Signature Dialog») hayan preparado un documento de respuesta.

La campaña de los útimos dias de este Lobby ha llegado a los medios de comunicación: EU digital ID reforms should be ‘actively resisted’, say experts

Como respuesta, hoy «European Signature Dialog» ha publicado otro documento parecido al de hace unos días:

Los diversos documentos difundidos por «Mozilla», son básicamente falsos. Combinan mentiras y desinformación y atacan el hecho de que una norma tan importante como un Reglamento Europeo obligue a que los navegadores web estén obligados a reconocer los certificados cualificados de autenticación de sitios web.

Sin embargo esto se reconoce en el contexto de los Prestadores de Servicios de Confianza Digital Cualificados como una necesidad inaplazable.

Lo que pasa en realidad es que los Prestadores de Servicios de Confianza (entre los cuales están los Servicios de Certificación, entre los cuales los certificados para servidores web son un caso particular) deben superar un duro proceso de revisión que incluye una auditoría bienal (por un Organismo Evaluador de Conformidad, CAB) para todos sus servicios cualificados más una auditoría anual para los servicios de emisión de certificados de sitio web.

Luego deben presentar el Informe de Evaluación de Conformidad (CAR) al Organismo Supervisor del país en el que prestan sus servicios (que podría imponer requisitos adicionales).

Y ADEMÁS deben solicitar al organismo de Evaluación que genere un CAR parecido con algunos requisitos ligeramente diferentes para la inclusión de sus certificados en las listas de confianza de los navegadores a través de ciertos mecanismos como la base de datos CCADB y la plataforma de gestión de errores Bugzilla. Esta plataforma, auspiciada por Mozilla, la usan otras entidades que desarrollan navegadores web.

En la evaluación de conformidad se toman en consideración las normas de ETSI EN 319 401, EN 319 411 (1 y 2, especialmente -1-), EN 319 412 (1 a 5, especialmente -4-) y TS 119 403-2 que a su vez subsumen las normas de CABForum «Baseline requirements» y «Extended Validation Guidelines».

Un proceso que se ha impuesto desde la entrada en vigor del Reglamento EIDAS (1) publicado en 2014 y con el que llevamos casi 10 años. Es un proceso claramente redundante que además tiene un alto grado de inseguridad jurídica porque en las discusiones de Bugzilla opinan quienes tanto tienen conocimientos adecuados como los que no los tienen, lo que lleva a veces a no permitir alegar a los prestadores cuando se les acusa de un comportamiento inadecuado y donde aparecen requisitos no escritos porque a alguien se le ocurre.

El artículo 45 dice, básicamente, que si un prestador de servicios de confianza ya se ha auditado en base a todos los requisitos que aplican y su Organismo Supervisor lo ha validado hasta el punto de incluirlo en la TSL (Lista de Servicios de Confianza), entonces los navegadores deben aceptarlo e incluirlo en sus propias listas de Confianza.

Si una vez en vigor el nuevo artículo 45 alguien  (un particular, una universidad o un fabricante de navegadores) detecta un problema en un servicio de emisión de certificados europeo, solo tiene que notificarlo motivadamente al Organismo Supervisor que actuará en consecuencia solicitando información al prestador, y retirándole la confianza si fuera preciso, eliminándolo de la TSL. Seguramente se puede automatizar el aviso desde Bugzilla para que los navegadores acostumbrado a ese mecanismo no tengan que cambiar sus procedimientos.