Archivo de la categoría: Certificados

Servicios OCSP de FNMT abiertos y gratuitos

3 respuestas

Casi dos años después de que se propusiera como medida de la Comisión para la Reforma de las Administraciones Públicas (CORA), el Consejo de Ministros ha autorizado el pasado 27 de octubre de 2014  la financiación necesaria para una encomienda global entre la Administración General del Estado (AGE) y la Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (FNMT-RCM), para la prestación de los servicios de certificación electrónica.

La nota de prensa completa se puede leer aquí. Esta es su transcripción:

Encomienda entre la Administración General del Estado y la FNMT para servicios de certificación electrónica

El Consejo de Ministros ha autorizado la financiación necesaria para una encomienda global entre la Administración General del Estado (AGE) y la Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (FNMT-RCM), para la prestación de los servicios de certificación electrónica.

Esta encomienda se enmarca dentro del Informe de la Comisión para la Reforma de las Administraciones Públicas (CORA), y será de aplicación en los órganos, organismos y entidades pertenecientes a la Administración General del Estado.

Además, aquellos organismos que no formen parte de la AGE, así como otras instituciones y poderes del Estado y/o sociedades estatales que ejerzan funciones públicas, podrán sumarse a la encomienda, previa vinculación del presupuesto correspondiente.

Con esta encomienda global se persigue reducir el esfuerzo, tiempo y recursos de los departamentos, organismos encomendantes y de la propia FNMT – RCM. Además, supondrá un ahorro de costes para la Administración General del Estado y la posibilidad de extender los servicios de firma electrónica a otros organismos.

La contraprestación a percibir por la FNMT-RCM para el ejercicio 2015 será de 2,79 millones de euros, inferior al gasto actual realizado por los organismos que quedan incluidos en el ámbito de la encomienda. Debe tenerse en cuenta además que el ámbito de aplicación es mayor que el de las encomiendas actuales.

La entrada en vigor será el 1 de noviembre de 2014 con la prestación de servicios a los servicios centrales del Ministerio de Hacienda y Administraciones Públicas, y el 1 de enero de 2015 para el resto de los departamentos y organismos incluidos en su ámbito de aplicación, con una vigencia hasta el 31 de diciembre de 2015, pudiendo prorrogarse por años naturales.

Con esta encomienda y este presupuesto, no tiene sentido mantener la anomalía que supone que los servicios de certificación digital de la FNMT no ofrecen servicios OCSP abiertos y gratuitos para cualquier servicio público o privado que quiera admitir el uso de los certificados de la FNMT.

Yo creo que los aspectos claves de la encomienda de gestión y los que justifican su elevado coste son los que tienen que ver con el mantenimiento de múltiples sistemas de emisión de certificados y gestión de RA (Registration Authority» para funcionarios, empleados que trabajan al servicio de las administraciones públicas y de la administración de justicia y ciudadanos que pueden solicitar sus certificados en múltiples organismos públicos cuyos funcionarios se han de formar, auditar y administrar.

Seguro que también supone un esfuerzo la tarea (no lograda a día de hoy) de que los certificados de la FNMT se incluyan en los repositorios de confianza de los sistemas operativos, de los navegadores y de los lectores de ficheros PDF, y dejen de aparecer los avisos de «este certificado no es de confianza»

También supone un esfuerzo redactar y mantener las políticas y prácticas de certificación y sus declaraciones.

Supone un esfuerzo asesorar a las diferentes administraciones públicas respecto a la forma de integrar sistemas que hacen uso de los certificados de la FNMT, en su emisión o aceptación.

Hay muchos costes que merecen compensación. Pero no es uno de ellos el mantenimiento de los servidores OCSP que con el último Reglamento Europeo EU 910/2014 han de ser abiertos y gratuitos para todos los prestadores de servicios de confianza digital que expiden certificados cualificados.

Esperamos que quienes negocien la encomienda de gestión tengan en cuenta estos aspectos que parecen obvios pero no se han resuelto en los más de 15 años desde que se inició el proyecto CERES (Certificación Española) en la FNMT.

Por cierto, la disponibilidad abierta y gratuita de los servicios OCSP debe ir acompañada de una correcta codificación de los certificados de la FNMT que en la actualidad siguen siendo una anomalía en la aplicación de la normativa técnica. Entre los aspectos que deben incluir destaca el que ha de servir para saber si un certificado es válido: la inserción en elcampo AIA (Authority Information Access) de la información relativa a la dirección URL en la que está diponible el servicio OCSP abierto y gratuito.

Veremos si finalmente priman los principios de la Comisión para la Reforma de las Administraciones Públicas o si se preservan intereses espúreos, ajenos a los interese de la sociedad española.

Información OCSP en AIA

1 respuesta

El servicio OCSP (Online Certificate Status Protocol) ofrece información estandarizada, definida en la especificación RFC 6960 (que actualiza la RFC 2560) sobre el estado de un certificado digital. Es decir, informa sobre si el certificado consultado esta vigente o revocado. Este servicio responde a las aplicaciones cliente que realicen una petición estandarizada y sepan interpretar la respuesta.

La extensión AIA (Authority Information Access, en español Acceso a la Información de Autoridad) está definida en la norma RFC 6818 (que actualiza la especificación RFC 5280, que ha tenido otras versiones y actualizaciones (RFCs  3280, 4325, 4630).

The authority information access extension indicates how to access  information and services for the issuer of the certificate in which  the extension appears.  Information and services may include on-line  validation services and CA policy data.  (The location of CRLs is not  specified in this extension; that information is provided by the  cRLDistributionPoints extension.)  This extension may be included in  end entity or CA certificates.

Traducción:

La extensión de acceso a la información de autoridad indica cómo acceder a  información y servicios del emisor del certificado en el que aparece esta extensión. Entre la Información y los servicios referenciados se pueden incluir  servicios de validación en línea y datos de política de la CA. Esta extensión se puede incluir tanto en certificados de entidad final como en certificados de CA (Autoridad de Certificación).

La ubicación de las CRL no se indica en esta extensión, ya que existe otra para ello:

cRLDistributionPoints

La especificación de la estensión en formato ASN.1 es la siguiente:

id-pe-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 }

   AuthorityInfoAccessSyntax  ::=
           SEQUENCE SIZE (1..MAX) OF AccessDescription

   AccessDescription  ::=  SEQUENCE {
           accessMethod          OBJECT IDENTIFIER,
           accessLocation        GeneralName  }

   id-ad OBJECT IDENTIFIER ::= { id-pkix 48 }

   id-ad-caIssuers OBJECT IDENTIFIER ::= { id-ad 2 }

   id-ad-ocsp OBJECT IDENTIFIER ::= { id-ad 1 }

Duración de la validez de los certificados cualificados o reconocidos

3 respuestas

El  artículo 8 de la Ley 59/2003, de 19 de diciembre, de firma electrónica ha cambiado su redacción por la disposición final sexta de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones («B.O.E.» 10 mayo; Corrección de errores «B.O.E.» 17 mayo)

En su apartado 2, la norma indicaba:

El período de validez de los certificados electrónicos será adecuado a las características y tecnología empleada para generar los datos de creación de firma.

En el caso de los certificados reconocidos este período no podrá ser superior a cuatro años.

Tras la modificación, queda:

2. El período de validez de los certificados electrónicos será adecuado a las características y tecnología empleada para generar los datos de creación de firma. En el caso de los certificados reconocidos este período no podrá ser superior a cinco años.

 

Sin embargo, pese a lo que diga la Ley, lo cierto es que no existe limitación específica en cuanto a la duración de los certificados cualificados (o reconocidos) ya que el recientemente aprobado Reglamento europeo – Identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior (en inglés REGULATION (EU) No …/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on electronic identification and trust services for electronic transactions in the internal market) al igual que la Directiva 1999/93/EC (Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures ) no definen ningún límite y por tanto no puede aplicarse una restricción en un país miembro que limite la prestación de servicios de confianza de prestadores supervisados por otro.

Por poner un ejemplo, si el DNI electrónico incluyera certificados electrónicos válidos por 10 años (o la duración prevista del soporte), estaría cumpliendo el Reglamento Europeo que prima sobre la Ley española, y por tanto serían legales.

Una pena realizar una modificación de la Ley de Firma electrónica por una tontería, y que encima sea inútil.

 

 

No se emitirán certificados para sitios web para más de 4 años

Deja un comentario

La industria de certificación para sitios web que facilita el cifrado SSL/TLS se reúne periódicamente bajo la organización CAB (CA-Browser) Forum y acuerda las normas que se aplican en toda la industria SSL/TLS.

Una de estas normas es la eliminación de los certificados SSL/TLS con una validez de más de 4 años.

Esto aplica en todo el sector a partir del 1 de julio de 2012. Los certificados emitidos por RapidSSL, Symantec, Thawte y Geotrust, entre otras ya no estarán disponibles para períodos mayores de 4 años a partir del 13 de junio de 2012.

Firma electrónica y servicios de certificación electrónica

Deja un comentario

El pasado 29 de octubre de 2003 tuvo lugar en la sede de la Editorial El Derecho un encuentro propiciado por la editorial junto con la Asociación Española de Derecho y Propiedad Intelectual (AEDPI), en la que tuve la oportunidad de participar, para debatir sobre un tema innovador y de  actualidad: La firma electrónica y los servicios de certificación.

Se incluye a continuación el resumen publicado en la  Revista de la Asociación de Antiguos Alumnos – Centro de Estudios Garrigues en su número de diciembre de 2003

Asistieron a este debate  José Luis Terrero Chacón, Magistrado de la Audiencia Nacional y miembro del Consejo Editorial del El Derecho Editores; José Daniel Sanz Heredero, Letrado jefe de la Sección de informática Judicial del C.G.P.J. y Magistrado de la Sala Contencioso Administrativa del T.S.J. de Madrid; César Belda Casanova, Director General de la Fundación para el Estudio de la Seguridad en las Comunicaciones (FESTE) y vocal de la Comisión de Control Informático del Colegio de Notarios; José María Anguiano Jiménez, Socio responsable de Nuevas Tecnologías de la firma Garrigues y Secretario General de la AEDPI; Julián Inza Aldaz, Director General de AC Camerfirma, S.A. y, como moderador del debate, intervino Alfonso García Catalán, Jefe del Área de Calidad y Desarrollo Estratégico (CERES) Fábrica Nacional de Moneda y Timbre.

En este apasionante debate se valoraron los aspectos más significativos del nuevo Proyecto de Ley de firma electrónica, que sustituirá al prematuro Real Decreto Ley 14/1999, aprobado tres meses antes que su norma rectora: la Directiva Comunitaria 1999/93/CE.

El nuevo marco normativo de la firma electrónica

Coincidieron los presentes  en la creencia de que el nuevo marco normativo, claramente influido por una política liberalizadora, pone fin, en palabras de César Belda, a una situación de facto de monopolio de la Fábrica Nacional de Moneda y Timbre para abrir la entrada a otros operadores en el mercado de la certificación.

La clave del éxito –según José María Anguiano– descansará en las propias prácticas y políticas de los Prestadores de servicios de certificación (PSC). Se generará, explicó, un auténtico mercado basado en la confianza, donde resultarán favorecidas las entidades que cuenten con mecanismos de confianza sólidos que las avalen.

La firma electrónica: su necesidad

Sobre la necesidad, o no, de la firma electrónica, José Luis Terrero afirmó que “la prueba seguirá siendo prueba, ya esté el documento firmado electrónicamente o mediante un grafismo”, de forma que, continuó diciendo, “al final un correo electrónico se puede convertir a fin de cuentas –de no impugnarse por la parte a quien perjudica- en un documento que despliegue con todo su vigor efectos probatorios, al igual que otro basado en tecnología de firma electrónica con criptosistemas asimétricos”.

En relación a este particular, Julián Inza consideró que no debe ser siempre necesaria la certificación. En este sentido, precisó, el cruce de correos electrónicos con personas conocidas, implica, la mayoría de las veces, para el destinatario una presunción de validez de la autoría del mensaje recibido.

El problema surge, explicó Julián Inza, en determinadas ocasiones, cuando el negocio jurídico o la declaración de voluntad inserta en el documento electrónico pretende vincular al autor de la misma frente al receptor, ya que de impugnarse el documento en sede judicial resultaría sencillo acreditar por un perito la falsificación de un e-mail, porque las técnicas con las que contamos en la actualidad lo permiten y, por ende, la posibilidad de diseñar éste a la medida de quien interese.

La eficacia probatoria de la firma electrónica

En el contexto del debate resultaba obligado abordar la eficacia probatoria de la firma electrónica.

Los efectos probatorios que en el marco del proceso pueda desplegar una firma electrónica están influidos por clase o tipo de firma, puesto que la redacción del nuevo ordinal tercero del artículo 326 de la ley de Enjuiciamiento Civil (LEC) remite a la Ley de firma electrónica que diferencia sus variantes.

Cuando la parte a quien interese la eficacia de un documento electrónico lo pida o se impugne su autenticidad, se procederá con arreglo a lo establecido en el artículo 3 de la Ley de Firma Electrónica

En este sentido, el artículo 3 del Proyecto comienza por dar una definición in genere del concepto de firma electrónica: “conjunto de datos en forma electrónica consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante”.

Configura, además, dentro de este concepto otra clase de firma: la electrónica avanzada –en adelante F.E.Av.– entendida como “la que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados-, que está vinculada al firmante de manera única y a los datos a que se refiere y por haber sido creada por medios que el firmante puede mantener bajo su exclusivo control.

Por último, y como novedad, la Ley acuña el término firma electrónica reconocida –en adelante F.E.Rec.- (que se podría haber traducido como cualificada si se respetara el término en inglés de la Directiva de la que trae causa) para referirse a: ”la firma electrónica avanzada basada en un certificado reconocido (cualificado) y generada mediante un dispositivo seguro de
creación de firma”que “tendrá respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los datos consignados en el papel”.

De tal manera que, reconocida la eficacia probatoria de toda clase de documentos firmados electrónicamente, públicos y privados, según avanza el Proyecto de Ley (en su artículo 3.5), el soporte en el que figuren los datos firmados electrónicamente será, siempre, admisible como prueba documental en juicio, siendo indiferente el tipo de firma utilizada.

Por otro lado, será posible defender la autoría de los documentos firmados con F.E.Av., con la proposición de un dictamen pericial conforme al artículo 352 L.E.C. en relación a su correlativo artículo 299.2 de la misma norma.

Sin embargo, podría ser estéril recurrir a un perito en el caso de que el signatario no utilice ni F.E.Av., ni F.E.Rec., ya que el resultado del dictamen no responderá a las expectativas de la parte que pugna por defender el valor probatorio del documento. Serán entonces las reglas de la sana crítica las que auxilien al Juez para establecer su valoración. Por tanto, el documento firmado con F.E.Rec. tendrá respecto a los datos consignados el mismo valor jurídico que la firma manuscrita (según se indica en el artículo 3.4), por lo que ipso iure se genera una presunción de validez.

César Belda apostilló que tendrá más valor, incluso, que la firma manuscrita. Esto es así porque en una eventual impugnación por la contraparte, no se precisa un cotejo pericial de letras, y el dictamen pericial demostraría tanto la autenticación de las partes, como la integridad del texto firmado. Por tanto sus efectos serían similares a los desplegados por un documento público, haciendo prueba plena en juicio sin necesidad de comprobación o cotejo salvo prueba en contrario.

En opinión de César Belda, el juez tendrá, además, que evaluar la diligencia de la entidad de certificación, ya que podríamos encontrarnos ante una usurpación de personalidad en la que un tercero se hiciera pasar por un supuesto signatario, firmando documentos electrónicamente con sus propios datos de creación de firma indebidamente asociados a la identidad usurpada.

Deberá decaer, al igual, la presunción de validez e imputabilidad del titular de la firma cuando los hechos justifiquen serias dudas de que la declaración se haya realizado conforme a la voluntad del firmante –por ejemplo por haber fallecido en fecha anterior.

La responsabilidad de los prestadores de los servicios de
certificación

Por último, en relación a la responsabilidad de los PSC, José María Anguiano expuso que la redacción actual del Proyecto permite la exoneración de responsabilidades de los prestadores de servicios de certificación.

César Belda ejemplificó en este sentido que el Proyecto de Ley obliga a que el receptor compruebe -en caso de recibir éste una proposición comercial de una persona jurídica- si ese acto de comercio se encuentra dentro del objeto social de la empresa; de manera que de no comprobar el receptor, esto podría ser causa de exoneración del PSC so pretexto de obviar el destinatario las restricciones del certificado electrónico respecto a sus usos.

De esta manera, y para concluir, nos encontramos ante una normativa que consagrará la utilización empresarial de las nuevas tecnologías, acrecentará el uso del comercio electrónico por los particulares, facilitará los actos de comunicación con la administración proporcionando seguridad, tanto a las empresas como a los ciudadanos, en la tramitación de sus gestiones, y permitirá, además, una mayor comodidad en las relaciones de abogados y procuradores junto con un mayor dinamismo y celeridad de la resolución de los procedimientos judiciales.