Certificados digitales en los navegadores, @firma y PSIS. ¿Ya funciona todo?

Apiadémonos de los Prestadores de Servicios de Certificación porque nunca son suficientemente valorados sus esfuerzos. Son los típicos esfuerzos que, si los haces, pasan desapercibidos y si no los haces, te llueven las … críticas.

En su día, comentamos lo que cuesta que los grandes desarrolladores de navegadores “precargasen” los certificados de los Prestadores de Servicios de Certificación.

Esto resuelve parte de los problemas.

Además, los prestadores tienen que realizar todas las gestiones para que sus diferentes políticas de certificados (tipos o clases de certificado) sean aceptadas (cargadas) por las plataformas de validación de las diferentes administraciones públicas (básicamente @firma y PSIS), que no son pocas.

Total, que se hacen los esfuerzos para cargar los certificados en los principales navegadores y las políticas en la principales plataformas de validación y uno (el prestador) se espera que ya todo funcione.

Pero no es asíimagen SSL

Y no es así porque existe un protocolo llamado TLS (anteriormente SSL versión 3), que permite autenticación de cliente basada en certificados digitales.

¿Y con qué certificados me puedo autenticar en una determinada web?

¿Con los que emiten los prestadores cuyos certificados tiene precargados el navegador? No es condición suficiente. ¿Con las políticas aceptadas en @firma o PSIS (suponiendo que sea la web de una Administración Pública)? En absoluto, en esta autenticación todavía no se ha consultado a la plataforma de validación. Entonces, ¿con qué certificados se puede uno autenticar? Simplificando, con aquéllos emitidos por los prestadores cuyos certificados tenga cargados como Autoridades de Certificación de Confianza EL SERVIDOR WEB que presenta la página a la que estamos accediendo.

¿Qué implica esto?

Que los prestadores tienen que ir web por web de las distintas administraciones públicas identificado al responsable del servidor web y enviándole los certificados para que los “precargue” en el servidor web.

Si hay una renovación de un certificado de la jerarquía, empieza de nuevo (bueno, al responsable del servidor web ya lo tienes identificado en el 80% de los casos) para que en TODOS los servidores web de las distintas administraciones públicas se precargue el nuevo certificado.

autenticación web¿Alguna alternativa?

Lo bueno de este tipo de autenticación (TLS o SSLv3) es que es sencilla de implantar (para el responsable del servidor web.) Los principales servidores web tienen herramientas que hacen que aceptar a un determinado prestador sea sencillo. Pero, como hemos visto, esto vuelve locos a los prestadores de servicios de certificación.

Aprovechando que existen unas plataformas de validación disponibles para las Administraciones públicas, quizá se podría cambiar el mecanismo de autenticación de la siguiente manera (de nuevo simplificando):

  1. Un usuario accede a la web que requiere autenticación.
  2. La web, consulta a la plataforma de validación pertinente…
  3. … que le devuelve una lista con las políticas de certificado admitidas para autenticarse (considérese el caching para evitar sobrecargar la red).
  4. La web, basándose en esta lista, muestra al usuario cuáles de sus certificados (del usuario) concuerdan con la lista.
  5. El usuario escoge un certificado y se autentica.

Esto implica algo más de trabajo para los responsables del servidor web de la administración (¡¡pero sólo una vez!!, ¡¡no cada vez que el prestador renueva o emite un certificado de la jerarquía!); sin embargo, da mucho más valor a las plataformas de validación, ahorra muchísimo trabajo a los prestadores de servicios de certificación (en la actualidad y en el futuro)

Esta “alternativa conceptual” de mecanismo de autenticación podría formar parte del Esquema Nacional de Interoperabilidad – ENI (o quizá del ENS – Esquema Nacional de Seguridad) , con lo que sería de obligado cumplimiento para las Administraciones Públicas, los prestadores no tendrían que preguntarse administración por administración qué hacer para que los ciudadanos nos podamos autenticar con sus certificados y la e-Administración sería más cercana y sencilla de usar para los ciudadanos, que es uno de los fines últimos de todo esto.

Y si aún se quiere un mecanismo más sencillo, se puede utilizar la pasarela de autenticación de isigma. Si quieres saber si podrías autenticarte con tu certificado, puedes ver los prestadores de servicios de certificación admitidos hasta el momento. Si no encuentras el tuyo, no dudes en hacérnoslo saber.

Si te ha gustado mi entrada, hazme un favor y compártela con más gente en tus redes sociales habituales usando los controles de más abajo.

Acerca de chemalogo

Socio Director de isigma asesoría tecnológica
Esta entrada fue publicada en Legislación, normas y estándares de la firma digital y etiquetada , , , , , , , , . Guarda el enlace permanente.

3 respuestas a Certificados digitales en los navegadores, @firma y PSIS. ¿Ya funciona todo?

  1. jenny dijo:

    Hola. Podrian decirme qué es exactamente una politica de certificación digital?

    • rdeblas dijo:

      Una política de certificación, es un documento elaborado por el prestador de servicios de certificación. Se indica el nivel de seguridad relativa a un determinado tipo de certificado digital. El contenido de este documento tiene que seguir el estándar técnico [RFC3647] Internet X.509 Public Key Infraestructura Certifícate Policy and Certification Practices Framework del IETF.

  2. Pingback: La mayoría de aplicaciones para certificados digitales, sólo reconocen el DNIe y los de la FNMT, y funcionan únicamente con Internet Explorer | El Blog de isigma

Los comentarios están cerrados.