Nueva versión de los perfiles de la Ley 11/2007 (LAECSP)

La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los ServiciosPúblicos (LAECSP), define, entre otras muchas cosas, tres tipos básicos de certificados, sobre los que no profundizaremos hoy:

• Sede electrónica, simplificando, para identificar los sitios web de las administraciones públicas
• Sello electrónico (o de órgano), para la actualización administrativa automatizada
• De empleado al servicio de la administración pública, para la identificación y firma de personas físicas al servicio de la administración pública

Desde el 26 de diciembre del 2007, que viera la luz la versión 1 del Esquema de identificación y firma electrónica de las Administraciones públicas Bloque I: Perfiles de certificados electrónicos, que define los perfiles de los certificados anteriores, ha llovido mucho.

Hoy mismo aparece la versión 1.7.6 de este referente para prestadores de servicios de certificación y desarrolladores de aplicaciones que usen los certificados recogidos por la citada LAECSP.

En otra ocasión comentaremos la idoneidad de usar las extensiones qcStatements (qualified certificate statemenst, o declaraciones de certificado reconocido) en certificados que no pueden ser reconocidos (en los términos de la Ley de Firma Electrónica) ni qualified (en los términos de la directiva europea que define el marco de referencia de la firma electrónica)  ya que no incorporan datos de persona física alguna (SEDE y, opcionalmente SELLO.)

También cabe discutir la utilidad versus el coste de incorporar las extensiones de identidad administrativa.

No obstante hoy realizaremos un somero repaso a los cambios entre la nueva versión y la versión 1.7.3, que probablemente haya sido la más maneja por los profesionales de firma electrónica, dado lo «de moda» que se han puesto desde finales de 2.009 los certificados de la LAECSP.

Lo primero que cambia es el nombre, pasando de «Esquema de identificación y firma electrónica de las Administraciones públicas, Bloque I: Perfiles de certificados electrónicos» a «Perfiles de certificados electrónicos» a secas, quizá para evitar referencias a la palabra «Esquema» y reservarla para identificar al Esquema Nacional de Interoperabilidad y al Esquema Nacional de Seguridad.

Se pretende sustituir el concepto de certificado Raíz por el de SubCA o CA subordinada, mucho más acorde con la realidad del mercado. (los prestadores de servicios de certificación -PSCs- no crearán una una CA raíz para emitir certificados de la LAECSP, sino una CA subordinada dentro de su jerarquía establecida.) No se consigue. Siguen apareciendo decenas de referencias a raíz, subraíz y otrasvariantes y sólo se deja claro en la sección»7 Certificado de SubCA»

Por otro lado, requisitos como que la duración de este certificado fuera de 12 años, cuando los PSCs podrían haberse sentido más cómodos con plazos mayores, ahora pasa a ser una recomendación (¿y ahora qué hago yo con este certificado de CA subordinada de 12 años?)

También cambian los requisitos respecto del DN (distinguished name) del issuer (emisor) del certificado SubCA, flexibilizándolo. Esto es algo que el mercado pedía a gritos y muy de agradecer. En general este issuer sí es una CA raíz, con caducidades de hasta 30 años en algunos casos (ahora, tratando de no pasar del año 2031 por recomendaciones de  Microsoft(R)) y creados con pompa y circunstancia: altos cargos, notarios, grabaciones de vídeo y toda una parafernalia necesaria para garantizar que el certificado generado es ése  y no otro. Tener que cambiar un certificado de CA raíz tiene un impacto brutal no sólo por la ceremonia, sino también por los reconocimientos, la inclusión en programas y aplicaciones, etc…

Esta flexibilización permite que los actuales certificados raíz de los distintos PSCs del panorama estatal cumplan con el perfil (¿todos?)

Para acabar este breve análisis superficial (ya lo digo yo antes de que me lo eche en cara alguien) notar que aparece referenciado el Esquema Nacional de Interoperabilidad (en la versión 1.7.3 no podía aparecer porque no existía):

De acuerdo al artículo 18.1 del Real Decreto 4/2010 por el que se regula el EsquemaNacional de Interoperabilidad, la Administración General del Estado definirá una política defirma electrónica y de certificados que servirá de marco general de interoperabilidad para laautenticación y el reconocimiento mutuo de firmas electrónicas dentro de su ámbito deactuación. No obstante, dicha política podrá ser utilizada como referencia por otrasAdministraciones públicas para definir las políticas de certificados y firmas a reconocer dentrode sus ámbitos competenciales.

Según el artículo 18.4, los perfiles comunes de los campos de los certificados definidos por lapolítica de firma electrónica y de certificados posibilitarán la interoperabilidad entre lasaplicaciones usuarias, de manera que tanto la identificación como la firma electrónicagenerada a partir de estos perfiles comunes puedan ser reconocidos por las aplicaciones sinningún tipo de restricción técnica, semántica u organizativa. Dichos certificados serán los definidos en la Ley 11/2007, de 22 de junio, la Ley 59/2003, de 19 de diciembre, de firma electrónica y sus desarrollos normativos. Estos perfiles habrán de conjugarse con las Políticas de certificación y Declaración de Políticas de certificación para completar el marco de servicios en torno a los certificados.

No me gustaría concluir sin remarcar el carácter constructivo que subyace en este post y también la gran utilidad del documento analizado, para los profesionales de la consultoría y aplicaciones de firma electrónica. Aún no estando de acuerdo en algunos de los criterios para definir los perfiles es de gran ayuda tener una referencia común que facilita la definición de los perfiles a consultores y la reutilización e interoperabilidad de aplicaciones de firma electrónica.