Las increíbles Políticas de Certificado Crecientes

MuchedumbreHace tiempo que quiero crear una entrada sobre el creciente número de política de certificado que puebla el panorama de Prestadores de Servicios de Certificación español (en el momento de escribir estas líneas, 31 son los PSC que han informado al MINETUR -antiguo MITyC-). Y si no, que se lo pregunten a los responsables de @firma, que tuvieron que cambiar el procedimiento de admisión porque no daban abasto.

Partiendo de que una Política de Certificado (PC), simplificando mucho, es “qué se debe cumplir para gestionar el ciclo de vida de un certificado” y las (Declaraciones de) Prácticas de Certificación (DPC) son el “cómo lo hago para cumplir la PC”, me parece claro que cada Prestador debe tener su DPC, pero que las PCs podrían ser transversales a los Prestadores, es decir una PC muy concreta para usos muy específicos, quizá promovida desde la administración pública, a la que los PSC dan cobertura con sus propias DPC.

Desde mi punto de vista, esto es especialmente relevante en dos casos:

  1. Si el Prestador tiene una jerarquía con varias Autoridades de Certificación subordinadas, dependiendo del enfoque de la jerarquía, puede ser muy interesante definir PC transversales a toda la jerarquia.
  2. Los certificados de la ley 11/2007 (Sede, Sello y Empleado Público.) Se definen unos perfiles con un grandísimo nivel de detalles y excesiva información (buscando la interoperabilidad, supongo) y nos quedamos a un paso de que estos perfiles se conviertan en PCs y los prestadores no tengan que crear nuevas PCs, con sus correspondientes OIDs, todas idénticas, para cumplir con estos perfiles.

Para tratar de complementar esta entrada, la he puesto a debate en LinkedIn, descubriendo por una parte que en los grupos en español no tuvo mucho seguimiento y sí un acalorado debate en grupo (restringido) Electronic Signature Group.

Han particiapdo en el debate Laszlo Szentirmai – administrador de políticas de NetLock Kft., primera Autoridad de Certificación que emite certificados reconocidos en Hungría, Charles Moore – Director General y fundador de VillageMall -, y Vojtech Kment – consultor de TIC, abogado especializado en seguridad de documentos electrónicos y Director General de axonNet -, estos dos últimos, miembros muy activos de los grupos de LinkedIn.

En Hungría parece haber una situación similar, y más que arrogar luz al tema, plantea nuevas preguntas, mostrando inquietud sobre todo por las políticas de certificados no regulados por la Directiva europea ni las leyes nacionales, como los de SSL, por ejemplo.

Mientras, Charles se muestra bastante crítico con lo que conlleva la firma electrónica con comentarios como “Uno toma un proceso simple, de coste cero, en el que nadie está en desventaja, es decir, incluso los más pobres y menos educados puede colocar una X en un pedazo de papel, y tratamos de sustituir esto con un sistema que nadie entiende, y que cuesta una fortuna” y simplifica la cuestión argumentando que, al final una PC no es más que un acuerdo, cosa con la que estoy de acuerdo, pero el problema no es lo que es, sino el alto número que hay que gestionar. No creo que una simplificación de su naturaleza reduzca el problema.

Desde luego, Charles no se muestra partidario de una PC gubernamental.

Para Vojtech, el tema es más complejo, detalla la dificultad que una PC puede tener y lo que implica su elevado número.

Finalmente el debate se acaba centrando más en qué es y cómo se desarrolla una PC que en si se debería tender a minimizar su número y si sería conveniente el desarrollo de PC desde la Administración Pública.

¿Qué opinais vosotros? ¿Hay espacio para simplificar el número de políticas de certificado? ¿tienen sentido políticas de certificado independientes de (transversales a) los PSC?

Y ya sabes, si te ha gustado esta entrada, o crees que puede resultar útil a otras personas, no dudes en compartirla a través de los botones que encontrarás debajo.

Acerca de chemalogo

Socio Director de isigma asesoría tecnológica
Esta entrada fue publicada en Legislación, normas y estándares de la firma digital y etiquetada , , , , . Guarda el enlace permanente.