search
El medio de comunicación que reinventa la empresa
Registrar un software

¿Qué autoridad de certificación electrónica debo elegir?

¿Qué autoridad de certificación electrónica debo elegir?

Por Samantha Mur

El 29 de octubre de 2024

Una autoridad de certificación es una entidad que expide certificados electrónicos para garantizar un alto nivel de seguridad en los intercambios electrónicos de las organizaciones.

A medida que las empresas realizan la transición a la tecnología digital y transforman sus procesos y prácticas, como la desmaterialización de documentos, los problemas de gestión y tratamiento de datos son cada vez más frecuentes.

Garantizar la seguridad de los datos y el valor jurídico de los intercambios en línea se está convirtiendo en una prioridad. ¿Cómo comprobar que un sitio web es fiable? ¿Cómo asegurarse de que un procedimiento de firma electrónica es legalmente admisible o de que un pago en línea es seguro?

Descubra el papel y las características de una autoridad de certificación.

¿Qué es una autoridad de certificación?

Una autoridad de certificación (AC) es una entidad de confianza que expide certificados digitales. Es un proveedor de servicios, como una empresa privada o una autoridad administrativa, que crea, suministra y gestiona certificados electrónicos en nombre de los usuarios.

Una autoridad de certificación pretende garantizar :

  • la fiabilidad de un sitio web
  • la identidad de los titulares de certificados
  • la ausencia de riesgo en los intercambios de documentos y datos, como los procesos de pago en línea o la firma electrónica.

Su papel: emitir certificados electrónicos

Una CA emite certificados electrónicos, también llamados certificados de clave pública, para garantizar la seguridad de la navegación y de los intercambios de datos informáticos.

¿Qué es un certificado en informática? Un certificado emitido por una autoridad de certificación :

  • garantiza la fiabilidad de los contenidos de los servidores web (certificados SSL) ;
  • protege la confidencialidad de los datos durante las transacciones y transferencias de documentos electrónicos;
  • autentifica a cualquier persona o entidad que desee conectarse a un espacio en línea;
  • da fe de la identidad digital de las personas que firman documentos desmaterializados mediante firma electrónica, garantizando así su valor jurídico.

💡 Por último, el certificado emitido actúa como documento de identidad de un documento electrónico o sitio web: si lo proporciona un tercero de confianza, su valor jurídico es indiscutible.

Lista de autoridades de certificación

El papel de autoridad de certificación puede ser asumido por :

  • gobiernos
  • instituciones bancarias
  • profesiones reguladas como notarios y abogados
  • federaciones de empresas del mismo sector empresarial,
  • empresas privadas, etc.

Las autoridades de certificación definen las condiciones de uso y atribución de las identidades electrónicas que expiden.

¿Qué autoridad de certificación elegir?

Criterios de elección de una autoridad de certificación

  • equipamiento y software
  • reputación
  • fiabilidad
  • precio.

Autoridad de certificación y firma electrónica

¿Cómo obtener un certificado de firma electrónica?

Una autoridad de certificación le permitirá obtener un certificado de firma electrónica, que sirve para garantizar la validez, la fiabilidad y el nivel de la firma electrónica.

El nivel de seguridad puede ser elegido por el usuario y corresponde a diferentes niveles de fiabilidad y garantía, tal y como define el reglamento eIDAS. Estos procesos de certificación confieren también valor jurídico a la firma electrónica.

Por último, las CA francesas asignan a cada firma electrónica un nivel de calidad de certificación basado en el Sistema General de Referencia de Seguridad (RGS):

  • elemental (RGS*)
  • estándar (RGS**),
  • mejorado (RGS***).

Selección de terceros de confianza

Para obtener un certificado electrónico, puede dirigirse a un TSP (Trusted Electronic Service Provider), como :

  • CertEurope, que ofrece certificados de firma electrónica conformes al reglamento eIDAS y al marco de referencia RGS, así como una plataforma de firma electrónica;
  • Certigna by Tessi, que ofrece un servicio de firma electrónica a todos los niveles y conforme (eIDAS, RGS) para documentos oficiales, acompañado de verificación de identidad, sellado de tiempo y sellado cualificado, así como un sistema de firma electrónica con valor probatorio;
  • ChamberSign, que emite certificados electrónicos de acuerdo con normas muy estrictas, con un nivel de seguridad avalado por la ANSSI;
  • Universign, que ofrece servicios de firma electrónica, sello electrónico y sellado de tiempo, como Prestador de Servicios de Confianza cualificado según la normativa europea eIDAS.

¿Cómo funciona una autoridad de certificación?

Emisión de un certificado electrónico por la autoridad de certificación

Una autoridad de certificación es responsable de establecer un vínculo seguro entre el usuario y el certificado que emite. Para ello

  1. la autoridad de certificación implementa mecanismos de verificación de la identidad del solicitante del certificado, que se exigen en función de los distintos niveles de seguridad, del más alto al más bajo.Éstos son necesarios según los distintos niveles de seguridad, desde la verificación de los documentos de identidad hasta un encuentro físico (detallado más adelante);
  2. la autoridad de certificación firma con su propia clave privada para garantizar la integridad del certificado y la fiabilidad de la información que contiene;
  3. la clave privada está asociada a un certificado raíz, que tiene el mayor nivel de seguridad;
  4. la autoridad de certificación se basa en el certificado raíz para crear certificados intermedios, que se benefician de su nivel de confianza y se utilizan para firmar los certificados digitales emitidos por la CA.

ℹ️ Base de confianza para todos los certificados emitidos por la CA, el certificado raíz se almacena generalmente en una ubicación protegida fuera de línea.

Autoridad de registro y unidad de producción

El funcionamiento de una autoridad de certificación se basa en :

  • una autoridad de registro responsable de las funciones de organización
    • tramitar las solicitudes de certificados
    • comprobar la información de los solicitantes
    • aceptar o rechazar las solicitudes
    • revocar los certificados;
  • una unidad de producción que gestiona los aspectos técnicos de la producción de los servicios de certificación:
    • creación de identidades electrónicas
    • manejo de sistemas criptográficos
    • garantizar la seguridad del entorno y de todo el proceso;
  • una autoridad de depósito, cuyo objetivo es :
    • centralizar
    • almacenar
    • archivar los certificados válidos, caducados o revocados.

Convertirse en autoridad de certificación

Aunque técnicamente es posible crear su propia autoridad de certificación y generar una clave privada, es esencial que los usuarios confíen en este servicio.

Sin embargo, el número de autoridades de certificación autorizadas es limitado. Para adherirse a un sistema de reconocimiento de autoridades de certificación autorizadas, hay que cumplir una serie de criterios, definidos por los navegadores web, los sistemas operativos y los dispositivos. Una vez que las CA cumplen estos criterios, pueden emitir certificados SSL, que son reconocidos automáticamente.

Las CA también se someten periódicamente a estrictas auditorías operativas, difíciles de cumplir. Garantizan el nivel de confianza que puede depositarse en sus actividades.

Los diferentes tipos de certificado electrónico

Para las entidades que crean y distribuyen contenidos en Internet, el tipo de certificado más extendido es el certificado SSL (Secure Socket Layer). Los certificados SSL están vinculados a nombres de dominio y se utilizan para autenticar y cifrar los intercambios de datos con sitios web.

Para expedir un certificado digital, la autoridad de confianza comprueba la identidad del solicitante basándose en determinadas verificaciones, que dependen de la clase y el tipo de certificado requerido.

Existen tres niveles de confianza

  • Certificado de validación ampliada(EV): el nivel más alto de garantía de la identidad del solicitante del certificado, basado en una gran cantidad de información verificada, incluidos varios elementos de identificación;
  • el certificado validado por la organización (OV): un nivel de confianza aún garantizado, pero con comprobaciones menos estrictas;
  • el certificado validado de dominio (DV): la única condición para recibir este certificado es que la persona u organización que lo solicita demuestre que es el propietario del dominio para el que se solicita.

Las autoridades de certificación han ampliado su gama de servicios y ahora expiden certificados digitales distintos de los dominios web, como los certificados :

  • certificados de firma de código
  • certificados de correo electrónico
  • certificados de dispositivo
  • certificados de cliente o usuario (verificación de firma)

para diversos fines de firma, cifrado y autenticación.

Para intercambios electrónicos seguros

Un certificado digital emitido por una autoridad de certificación es una auténtica garantía de seguridad para sus intercambios electrónicos, un requisito esencial en un momento en que el número de intercambios de datos por Internet no deja de aumentar.

Cada vez es más importante autenticarse en sitios seguros, garantizar el valor jurídico de los documentos desmaterializados y autenticar a personas o entidades, gracias a la concesión de certificados digitales.

Una vez que haya elegido a su proveedor de servicios, debe saber que la solicitud de un certificado puede tardar varias semanas, así que ¡prevéngalo con antelación!

¿A qué autoridad de certificación confiará sus solicitudes de certificados electrónicos?

Artículo traducido del francés