Certificado de autentificación de sitio web cualificado

De Wikipedia, la enciclopedia libre
La marca de confianza de la UE para servicios de confianza cualificada.

Un certificado de autentificación de sitio web cualificado (Certificado QWAC) es un certificado digital cualificado bajo los servicios de confianza definidos en el Reglamento eIDAS.

Un informe ENISA propuso seis estrategias y doce acciones recomendadas como un enfoque escalonado que se dirige a los aspectos más importantes detectados como críticos para mejorar el mercado de la autenticación de sitios web en Europa e introducir con éxito los certificados cualificados de autenticación de sitios web como medio para aumentar la transparencia en este mercado.[1][2]

QWAC en el contexto de otros estándares[editar]

Existen diferentes tipos de certificados de autenticación de sitios web: Validación de Dominio (DV), Validación de Organización (OV) y Validación Extendida (EV). Otra distinción que puede hacerse entre los tipos de certificados de autenticación de sitios web está relacionada con el número de dominios que asegura el certificado: Dominio único, comodín, multidominio. Los certificados de Validación Extendida ofrecen la mayor calidad en términos de garantía de la identidad del propietario de un certificado entre los tipos de certificados existentes en el mercado. Normalmente, el uso de un certificado EV se indica con un color verde, pero esto varía según el navegador.

El Reglamento eIDAS ha tenido en cuenta que existe un mercado establecido con sus propios esfuerzos de normalización industrial. El objetivo es no crear una interrupción con las iniciativas existentes y optimizar el esfuerzo de los proveedores cualificados para alinearse tanto con la normativa de la UE como con las normas del mercado existentes.

Reglamento eIDAS[editar]

En el Reglamento eIDAS, los servicios de confianza se definen como servicios electrónicos, normalmente prestados por proveedores de servicios de confianza (TSP), que consisten en firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, servicios de entrega electrónica registrada y autenticación de sitios web.[3][4]

En esencia, el Reglamento eIDAS proporciona un marco para promover:[5]

  • Transparencia y responsabilidad: obligaciones mínimas bien definidas para los TSP y responsabilidad.
  • Garantía de fiabilidad de los servicios junto con requisitos de seguridad para los TSP.
  • Neutralidad tecnológica: evitar los requisitos que sólo puede cumplir una tecnología específica.
  • Reglas del mercado y seguridad de la estandarización.

Contenido[editar]

Los certificados de autenticación de sitios web son uno de los cinco servicios de confianza definidos en el Reglamento eIDAS. El artículo 45 establece el requisito de que los proveedores de servicios de confianza que emitan certificados cualificados de autenticación de sitios web estén cualificados, lo que implica que serán aplicables todos los requisitos para los proveedores de servicios de confianza cualificados (QTSP) descritos en la sección anterior. El anexo IV define el contenido de los certificados cualificados para la autenticación de sitios web:[4]

  • Una indicación de que el certificado ha sido emitido como certificado cualificado para la autenticación de sitios web.
  • Un conjunto de datos que representen de forma inequívoca al prestador de servicios de confianza cualificado que emite los certificados cualificados, incluyendo el estado miembro en el que está establecido dicho prestador y de forma adecuada a la situación.
    • para una persona jurídica: el nombre y, en su caso, el número de registro que figura en los registros oficiales,
    • para una persona física: el nombre de la persona.
  • Para las personas físicas: al menos el nombre de la persona a la que se ha expedido el certificado, o un seudónimo. Si se utiliza un seudónimo, deberá indicarse claramente. Para las personas jurídicas: al menos el nombre de la persona jurídica a la que se ha expedido el certificado y, en su caso, el número de registro que conste en los registros oficiales.
  • Elementos de la dirección, incluyendo al menos la ciudad y el estado, de la persona física o jurídica a la que se expide el certificado y, en su caso, tal como figura en los registros oficiales.
  • Los nombres de dominio operados por la persona física o jurídica a la que se emite el certificado.
  • El período de validez del certificado.
  • El código de identidad del certificado, que debe ser único para el prestador de servicios de confianza cualificado.
  • La firma electrónica avanzada o el sello electrónico avanzado del prestador cualificado de servicios de confianza emisor.
  • La ubicación en la que está disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se refiere el punto 8.
  • La ubicación de los servicios de estado de validez del certificado que pueden utilizarse para consultar el estado de validez del certificado reconocido.

Referencias[editar]

  1. QWAC certificate on enisa.europa.eu
  2. eIDAS Qualified Website Authentication Certificates on quovadisglobal.com
  3. Turner, Dawn. «Understanding eIDAS». Cryptomathic. Consultado el 12 de abril de 2016. 
  4. a b «Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC». EUR-Lex. The European Parliament and the Council of the European Union. Consultado el 18 de marzo de 2016. 
  5. Turner, Dawn M. «Trust Service Providers according to eIDAS». Cryptomathic. Consultado el 17 de octubre de 2017. 
Obtenido de «https://es.wikipedia.org/w/index.php?title=Certificado_de_autentificación_de_sitio_web_cualificado&oldid=156873395»