Archivo de la categoría: Web-browser

Hoy se han publicado 4 nuevos actos de ejecución de desarrollo del Reglamento #EIDAS2

Deja un comentario

La Comisión Europea ha publicado cuatro nuevos reglamentos de ejecución en el Diario Oficial de la Unión Europea del 17 de diciembre. Ya son varias rondas de actos de ejecución, que comenzaron en diciembre de 2024, y se alcanza la publicación de 26 actos de ejecución.


Los reglamentos de ejecución publicados hoy son los siguientes:

📌 Qarchiv: servicios de archivo electrónico cualificados. REGLAMENTO DE EJECUCIÓN (UE) 2025/2532 DE LA COMISIÓN de 16 de diciembre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas y especificaciones de referencia para los servicios cualificados de archivo electrónico
📌 QELedgers: libros de contabilidad electrónicos cualificados. REGLAMENTO DE EJECUCIÓN (UE) 2025/2531 DE LA COMISIÓN de 16 de diciembre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas y especificaciones de referencia para los libros mayores electrónicos cualificados
📌 QWACs: certificados cualificados para la autenticación de sitios web. REGLAMENTO DE EJECUCIÓN (UE) 2025/2527 DE LA COMISIÓN de 16 de diciembre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia para los certificados cualificados de autenticación de sitios web
📌 QTSPs: normas de cumplimiento y seguridad: proveedores de servicios de confianza cualificados. REGLAMENTO DE EJECUCIÓN (UE) 2025/2530 DE LA COMISIÓN
de 16 de diciembre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los requisitos para los prestadores cualificados de servicios de confianza que prestan servicios de confianza cualificados.

Esta es la lista de los actos de ejecución anteriores.

Y el mapa que actualiza permanentement Joerg Lenz:

Webinar: Certificados TLS de 47 días, era post-cuántica y cripto-agilidad

Deja un comentario

Sectigo y Camerfirma de forma conjunta, organizaron ayer, 20/11/2025 un webinar para divulgar la evolución de la duración de los certificados de sitio web (TLS) hasta 47 días (con pasos intermedios de reducción de la duración de este tipo de certificados), y los retos de la computación cuántica que requieren soluciones técnicas (especialmente criptográficas) post-cuánticas y la adopción del concepto de criptoagilidad.

Es muy satisfactorio comprobar este alineamiento de mensajes en el sector de los prestadores de servicios de certificación, que coinciden con algunas ideas que he compartido recientemente en este blog, con actividades de EADTrust relacionadas:

Y en el Webinar de ayer se volvió a recordar que a partir de marzo de 2026, los certificados TLS reducirán su validez máxima a 200 días, dando inicio a un proceso que culminará en certificados de solo 47 días de validez en 2029. Este cambio impulsará la automatización de la gestión de la seguridad y la forma en que las organizaciones protegen su infraestructura digital. Ya que no se puede tener personal dedicado a generar e instalar cientos de certificados (en algunas organizaciones) básicamente de forma mensual.

Para eso se usan sistemas de automatización centrados en la adopción de protocolo ACME (Automatic Certificate Management Environment) estandarizado en la norma del IETF (RFC 8555).

Temas que se trataron::

  • Cómo los certificados digitales influyen en la continuidad, reputación y crecimiento del negocio.
  • El ciclo de vida de los certificados: Por qué la automatización será imprescindible.
  • Por qué los navegadores impulsan esta reducción.
  • Cripto-agilidad: Cómo prepararse para los retos de la computación cuantica.

Son mensajes que compartimos otros prestadores de servicios de confianza como EADTrust.

¿Qué QTSP es más activo en Criptoagilidad preparando el Criptocalipsis?

2 respuestas

La criptoagilidad (o agilidad criptográfica) es la capacidad de un sistema, software o infraestructura tecnológica para adaptarse rápidamente a nuevos algoritmos criptográficos o cambiar los existentes sin requerir modificaciones significativas en su arquitectura. Esto implica poder actualizar, reemplazar o ajustar los métodos de cifrado, firmas digitales o protocolos de seguridad de manera eficiente para responder a amenazas emergentes, como el avance en la computación cuántica, vulnerabilidades descubiertas o cambios en estándares regulatorios.

EADTrust es el Prestador de Servicios de Confianza Cualificados más activo de España en lo relativo a la adecuación frente a los retos de la computación cuántica analizando y adoptando las soluciones emergentes de la criptogrfía postcuántica. A nivel europeo, también Digicert, Entrust y Sectigo han mostrado actividad en estos aspectos

Yo mismo he ido impartiendo conferencias a lo largo de los años sobre la necesaria preparación frente a a computación cuántica y algunas están disponibles en Youtube. Y publiqué un artículo en este blog en 2018: La urgente adopción de la criptografía postcuántica. También otro sobre recientes avances como el chip Majorana.

La criptoagilidad y la disponibilidad de infraestructuras con diferentes algoritmos permiten anticiparse al criptocalipsis. El criptocalipsis (o apocalipsis criptográfico) es un término que describe un escenario hipotético en el que los algoritmos criptográficos actuales, como RSA, ECC (curvas elípticas) o AES, se vuelven obsoletos o vulnerables debido a avances tecnológicos, particularmente la llegada de la computación cuántica

EADTrust fue la primera entidad de certificación que preparó jerarquías de certificación de tamaños de clave mejores que RSA de 2048 bits, y en la actualidad es la única con jerarquías de PKI para certificados cualificados de tamaños de clave RSA de 8196 bits, especialmente orientada a proyectos de alta seguridad, con resistencia a la computación cuántica.

También EADTrust fue la primera entidad de certificación que preparó jerarquías de certificación basadas en criptografía no-RSA. Cuenta con dos jerarquías de certificación basada en Criptografía de Curvas elípticas, ECC-255 y ECC-384.

La disponibilidad de jerarquías ECC por parte de EADTRUST fue esencial para que España pudiera desplegar los pasaportes COVID ágilmente, ya que EADTrust fue el Prestador que pudo emitir en tiempo récord los certificados adecuados basados en ECC-255 para todos los organismos sanitarios españoles con las especificaciones de la OMS y de la Unión Europea.

En estos momentos hemos anunciado un importante curso presencial de 2 dias: Formación sobre Computación Cuántica y Criptografía Postcuántica. Se enmarca entre los Servicios de EADTrust de preparación de infraestructuras para afrontar los retos de la Computación Cuántica en relación con la Criptografía y la Preservación de documentos.

Además estamos haciendo seguimiento de los nuevos estándares de criptografía postcuántica como el FIPS-206 Falcon al que nos hemos referido recientemente en este blog y el prometedor HQC (Hamming Quasi-Cyclic).

El NIST seleccionó HQC (procedente de la ronda 4) como algoritmo adicional para estandarizar como KEM de respaldo a ML-KEM. El NIST anunció que creará un borrador (IPD) para HQC y lo publicará para comentarios — el cronograma indicado apunta a publicar el borrador aproximadamente en 1 año desde su anuncio y una versión final alrededor de 2027.

Ya tenemos servicios disponible para clientes que se desean valorar el impacto de su preparación (criptoagilidad) para los grandes cambios que se avecinan:

  • Adaptación de servidores web (en la conexión segura «https://») para incluir TLS1.3 (RFC 8446) y la configuración necesaria para que la gestión de claves del cifrado de las comunicaciones se realice con el algoritmo ML-KEM/Kyber que ya soportan servidores y navegadores web como primera aproximación de mecanismos híbridos. Ver IETF draft-ietf-tls-kem-tls-13
  • Adaptación de servidores web para soportar el protocolo ACME (Automatic Certificate Management Environment) basado en el RFC 8555, como paso hacia una infraestructura automatizada, segura y criptoágil. Además de poder configurar a EADTrust como Autoridad de Certificación generadora de certificados para TSL con ACME, en el Certbot se pueden configurar otras CAs. Aunque contamos con varios mecanismos de verificación de dominio damos preferencia a las variantes con información actualizada en el DNS. La duración máxima de los certificados TLS públicos se reducirá progresivamente a 47 días, según lo aprobado por el CA/Browser Forum en abril de 2025 mediante el Ballot SC-081v3, propuesto por Apple y respaldado por los principales navegadores (Apple, Google, Mozilla y Microsoft). Esta es otra buena razón para incorporar a automatización a la renovación de certificados de servidor web

El lobby de Mozilla ataca el futuro artículo 45 del Reglamento EIDAS 2 y aquí explico por qué está equivocado

2 respuestas

Durante el fin de semana del 4 y 5 de noviembre de 2023 se ha publicado un «Joint Statement» impulsado por Mozilla e Internet Society, como parte de su esfuerzo de influenciar el desarrollo legislativo del Reglamento EIDAS2 en fase de Trílogos.

Entre otras afirmaciones, dice:

«Después de leer el texto casi definitivo, estamos profundamente preocupados por el texto propuesto para el artículo 45. La propuesta actual amplía radicalmente la capacidad de los gobiernos para vigilar tanto a sus propios ciudadanos como a los residentes en toda la UE, proporcionándoles los medios técnicos para interceptar el tráfico web cifrado, además de socavar los mecanismos de supervisión existentes en los que confían los ciudadanos europeos»

El artículo 45 se formuló de la siguiente forma en la versión inicial de la propuesta de reglamento:

«Artículo 45

Requisitos de los certificados cualificados de autenticación de sitios web

  1. Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. Se presumirá el cumplimiento de los requisitos establecidos en el anexo IV cuando un certificado cualificado de autenticación de sitios web se ajuste a las normas a que se refiere el apartado 3.
  2. Los navegadores web reconocerán los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1. Con este fin, los navegadores web garantizarán que los datos de identificación proporcionados mediante cualquiera de los métodos se muestren al usuario de un modo fácil de entender. Los navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1, con la excepción de las empresas consideradas microempresas y pequeñas empresas de conformidad con la Recomendación 2003/361/CE de la Comisión en sus primeros cinco años de actividad como prestadores de servicios de navegación web.
  3. Dentro de los doce meses siguientes a la entrada en vigor del presente Reglamento, la Comisión dispondrá, por medio de actos de ejecución, las especificaciones y los números de referencia de las normas para los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»

A lo largo del proceso legislativo se han propuesto algunos cambios, entre otras razones porque la actuación del lobby no es de ahora y se pensó en aceptar lo aceptable de sus planeamientos. Al inicio de los debates de los trílogos (en marzo de 2023) el texto propuesto era:

«Article 45

Requirements for qualified certificates for website authentication

  1. Qualified certificates for website authentication shall allow the authentication and identification of the natural or legal person to whom the certificate was issued with a high level of assurance. Qualified certificates for website authentication shall also meet the requirements laid down in Annex IV. Qualified certificates for website authentication shall be deemed compliant with this paragraph and the requirements laid down in Annex IV where they meet the standards referred to in paragraph 3.
  2. Qualified certificates for website authentication referred to in paragraph 1 shall be recognised by web-browsers. Web browsers shall not be prevented from taking measures that are both necessary and proportionate to address substantiated risks of breaches of security, user’s privacy and loss of integrity of certificates provided such measures are duly reasoned. In such a case, the web browser shall notify the Commission, ENISA and the qualified trust service provider that issued that certificate or set of certificates without delay of any measure taken. Such recognition means that web-browsers shall ensure that the relevant identity data and electronic attestation of attributes provided is displayed in a user friendly manner, where possible, consistent manner, that reflects the state-of-the-art regarding accessibility, user awareness and cybersecurity according to best industry standards. Web-browsers shall ensure support and interoperability with qualified certificates for website authentication referred to in paragraph 1, with the exception of enterprises, considered to be microenterprises and small enterprises in accordance with Commission Recommendation 2003/361/EC in the first 5 years of operating as providers of web-browsing services.
  3. By … [12 months after the date of entry into force of this amending Regulation], the Commission shall, by means of implementing acts, provide the specifications and reference numbers of standards for qualified certificates for website authentication referred to in paragraph 1 and 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).»

El texto final se ha acordado en los debates de trílogos y la reunión final para decidir su aprobación está prevista para el miércoles 8 de noviembre, bajo la presidencia española. No sé exactamente el texto acordado pero será parecido al ya indicado.

El debate ha dado lugar a un documento específico del Parlamento Europeo analizando las distintas posiciones. Es de enero de 2023.

La dureza (y falsa información) del ataque de Mozilla e «Internet Society» ha motivado que un grupo de prestadores de servicios de certificación europeos («European Signature Dialog») hayan preparado un documento de respuesta.

La campaña de los útimos dias de este Lobby ha llegado a los medios de comunicación: EU digital ID reforms should be ‘actively resisted’, say experts

Como respuesta, hoy «European Signature Dialog» ha publicado otro documento parecido al de hace unos días:

esd-experts-support-trilogue-art.45-results-6nov2023Descarga

Los diversos documentos difundidos por «Mozilla», son básicamente falsos. Combinan mentiras y desinformación y atacan el hecho de que una norma tan importante como un Reglamento Europeo obligue a que los navegadores web estén obligados a reconocer los certificados cualificados de autenticación de sitios web.

Sin embargo esto se reconoce en el contexto de los Prestadores de Servicios de Confianza Digital Cualificados como una necesidad inaplazable.

Lo que pasa en realidad es que los Prestadores de Servicios de Confianza (entre los cuales están los Servicios de Certificación, entre los cuales los certificados para servidores web son un caso particular) deben superar un duro proceso de revisión que incluye una auditoría bienal (por un Organismo Evaluador de Conformidad, CAB) para todos sus servicios cualificados más una auditoría anual para los servicios de emisión de certificados de sitio web.

Luego deben presentar el Informe de Evaluación de Conformidad (CAR) al Organismo Supervisor del país en el que prestan sus servicios (que podría imponer requisitos adicionales).

Y ADEMÁS deben solicitar al organismo de Evaluación que genere un CAR parecido con algunos requisitos ligeramente diferentes para la inclusión de sus certificados en las listas de confianza de los navegadores a través de ciertos mecanismos como la base de datos CCADB y la plataforma de gestión de errores Bugzilla. Esta plataforma, auspiciada por Mozilla, la usan otras entidades que desarrollan navegadores web.

En la evaluación de conformidad se toman en consideración las normas de ETSI EN 319 401, EN 319 411 (1 y 2, especialmente -1-), EN 319 412 (1 a 5, especialmente -4-) y TS 119 403-2 que a su vez subsumen las normas de CABForum «Baseline requirements» y «Extended Validation Guidelines».

Un proceso que se ha impuesto desde la entrada en vigor del Reglamento EIDAS (1) publicado en 2014 y con el que llevamos casi 10 años. Es un proceso claramente redundante que además tiene un alto grado de inseguridad jurídica porque en las discusiones de Bugzilla opinan quienes tanto tienen conocimientos adecuados como los que no los tienen, lo que lleva a veces a no permitir alegar a los prestadores cuando se les acusa de un comportamiento inadecuado y donde aparecen requisitos no escritos porque a alguien se le ocurre.

El artículo 45 dice, básicamente, que si un prestador de servicios de confianza ya se ha auditado en base a todos los requisitos que aplican y su Organismo Supervisor lo ha validado hasta el punto de incluirlo en la TSL (Lista de Servicios de Confianza), entonces los navegadores deben aceptarlo e incluirlo en sus propias listas de Confianza.

Si una vez en vigor el nuevo artículo 45 alguien  (un particular, una universidad o un fabricante de navegadores) detecta un problema en un servicio de emisión de certificados europeo, solo tiene que notificarlo motivadamente al Organismo Supervisor que actuará en consecuencia solicitando información al prestador, y retirándole la confianza si fuera preciso, eliminándolo de la TSL. Seguramente se puede automatizar el aviso desde Bugzilla para que los navegadores acostumbrado a ese mecanismo no tengan que cambiar sus procedimientos.

Laboratorio de Confianza Digital ICADE Garrigues

2 respuestas

La Universidad Pontificia Comillas y el despacho de abogados Garrigues, firmaron un convenio para crear el Observatorio ‘Legaltech’, Garrigues-ICADE.

El Observatorio, depende de la Facultad de Derecho (Comillas ICADE), a través del Centro de Innovación del Derecho (CID-ICADE).

En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).

Formando parte del Observatorio se han definido ya varios laboratorios:

Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.

Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.

Hemos creado un Enlace de invitación al Canal de Whatsapp del Laboratorio de Confianza Digital en el que comentaremos novedades y al que se pueden conectar las personas interesadas.

Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.

Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.

New EIDAS Regulation makes clear to web-browsers that they must recognize qualified website authentication certificates

Deja un comentario

New draft proposal to ammend Regulation (UE) No 910/2014 (EIDAS) replace Article 45 withe the following text:

Requirements for qualified certificates for website authentication

  1. Qualified certificates for website authentication shall meet the requirements laid down in Annex IV. Qualified certificates for website authentication shall be deemed compliant with the requirements laid down in Annex IV where they meet the standards referred to in paragraph 3.
  2. Qualified certificates for website authentication referred to in paragraph 1 shall be recognised by web-browsers. For those purposes web-browsers shall ensure that the identity data provided using any of the methods is displayed in a user friendly manner. Web-browsers shall ensure support and interoperability with qualified certificates for website authentication referred to in paragraph 1, with the exception of enterprises, considered to be microenterprises and small enterprises in accordance with Commission Recommendation 2003/361/EC in the first 5 years of operating as providers of web-browsing services.
  3. Within 12 months of the entering into force of this Regulation, the Commission shall, by means of implementing acts, provide the specifications and reference numbers of standards for qualified certificates for website authentication referred to in paragraph 1.  Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).’;