Certificados digitales en los navegadores, @firma y PSIS. ¿Ya funciona todo?
Apiadémonos de los Prestadores de Servicios de Certificación porque nunca son suficientemente valorados sus esfuerzos. Son los típicos esfuerzos que, si los haces, pasan desapercibidos y si no los haces, te llueven las … críticas.
En su día, comentamos lo que cuesta que los grandes desarrolladores de navegadores «precargasen» los certificados de los Prestadores de Servicios de Certificación.
Esto resuelve parte de los problemas.
Además, los prestadores tienen que realizar todas las gestiones para que sus diferentes políticas de certificados (tipos o clases de certificado) sean aceptadas (cargadas) por las plataformas de validación de las diferentes administraciones públicas (básicamente @firma y PSIS), que no son pocas.
Total, que se hacen los esfuerzos para cargar los certificados en los principales navegadores y las políticas en la principales plataformas de validación y uno (el prestador) se espera que ya todo funcione.
Pero no es así
Y no es así porque existe un protocolo llamado TLS (anteriormente SSL versión 3), que permite autenticación de cliente basada en certificados digitales.
¿Y con qué certificados me puedo autenticar en una determinada web?
¿Con los que emiten los prestadores cuyos certificados tiene precargados el navegador? No es condición suficiente. ¿Con las políticas aceptadas en @firma o PSIS (suponiendo que sea la web de una Administración Pública)? En absoluto, en esta autenticación todavía no se ha consultado a la plataforma de validación. Entonces, ¿con qué certificados se puede uno autenticar? Simplificando, con aquéllos emitidos por los prestadores cuyos certificados tenga cargados como Autoridades de Certificación de Confianza EL SERVIDOR WEB que presenta la página a la que estamos accediendo.
¿Qué implica esto?
Que los prestadores tienen que ir web por web de las distintas administraciones públicas identificado al responsable del servidor web y enviándole los certificados para que los «precargue» en el servidor web.
Si hay una renovación de un certificado de la jerarquía, empieza de nuevo (bueno, al responsable del servidor web ya lo tienes identificado en el 80% de los casos) para que en TODOS los servidores web de las distintas administraciones públicas se precargue el nuevo certificado.
¿Alguna alternativa?
Lo bueno de este tipo de autenticación (TLS o SSLv3) es que es sencilla de implantar (para el responsable del servidor web.) Los principales servidores web tienen herramientas que hacen que aceptar a un determinado prestador sea sencillo. Pero, como hemos visto, esto vuelve locos a los prestadores de servicios de certificación.
Aprovechando que existen unas plataformas de validación disponibles para las Administraciones públicas, quizá se podría cambiar el mecanismo de autenticación de la siguiente manera (de nuevo simplificando):
- Un usuario accede a la web que requiere autenticación.
- La web, consulta a la plataforma de validación pertinente…
- … que le devuelve una lista con las políticas de certificado admitidas para autenticarse (considérese el caching para evitar sobrecargar la red).
- La web, basándose en esta lista, muestra al usuario cuáles de sus certificados (del usuario) concuerdan con la lista.
- El usuario escoge un certificado y se autentica.
Esto implica algo más de trabajo para los responsables del servidor web de la administración (¡¡pero sólo una vez!!, ¡¡no cada vez que el prestador renueva o emite un certificado de la jerarquía!); sin embargo, da mucho más valor a las plataformas de validación, ahorra muchísimo trabajo a los prestadores de servicios de certificación (en la actualidad y en el futuro)
Esta «alternativa conceptual» de mecanismo de autenticación podría formar parte del Esquema Nacional de Interoperabilidad – ENI (o quizá del ENS – Esquema Nacional de Seguridad) , con lo que sería de obligado cumplimiento para las Administraciones Públicas, los prestadores no tendrían que preguntarse administración por administración qué hacer para que los ciudadanos nos podamos autenticar con sus certificados y la e-Administración sería más cercana y sencilla de usar para los ciudadanos, que es uno de los fines últimos de todo esto.
Y si aún se quiere un mecanismo más sencillo, se puede utilizar la pasarela de autenticación de isigma. Si quieres saber si podrías autenticarte con tu certificado, puedes ver los prestadores de servicios de certificación admitidos hasta el momento. Si no encuentras el tuyo, no dudes en hacérnoslo saber.
Si te ha gustado mi entrada, hazme un favor y compártela con más gente en tus redes sociales habituales usando los controles de más abajo.
3 comentarios.
Hola. Podrian decirme qué es exactamente una politica de certificación digital?
Una política de certificación, es un documento elaborado por el prestador de servicios de certificación. Se indica el nivel de seguridad relativa a un determinado tipo de certificado digital. El contenido de este documento tiene que seguir el estándar técnico [RFC3647] Internet X.509 Public Key Infraestructura Certifícate Policy and Certification Practices Framework del IETF.
[…] ¿Para qué ha servido definir todo un sistema de reconocimiento de Prestadores de Servicios de Certificación, con las dificultades de adecuación que conlleva, si a la hora de la verdad las aplicaciones solo dan servicio al DNI electrónico, y los certificados digitales de la FNMT ? Me pongo en el pellejo del resto de Prestadores de Servicios de Certificación Españoles, y no deben estar especialmente satisfechos con este dato. Esto les obliga a poner recursos dedicados a analizar los servicios disponibles en el mercado, y negociar de forma recurrente el reconocimiento de sus certificados. […]