La certificación es la acción llevada a cabo por una entidad reconocida como independiente de las partes interesadas, mediante la que se manifiesta que se dispone de la confianza adecuada en que un producto, proceso o servicio debidamente identificado, es conforme con una norma u otro documento normativo especificado.
1.12.5.1 ¿Qué actividades realiza la autoridad de certificación? Fomenta el uso y potenciación del desarrollo del comercio electrónico sobre redes de telecomunicaciones con las necesarias garantías de seguridad, confidencialidad, autenticidad e irrevocabilidad de las transacciones (no repudio), mediante la organización y desarrollo de foros y centros de competencia neutral para el análisis y desarrollo de las actividades vinculadas al comercio electrónico.
Se encarga de la emisión, mantenimiento y revocación de certificaciones acreditativas (certificados) de la autenticidad de las personas y entidades intervinientes en las transacciones electrónicas.
1.12.5.2 Autoridades de certificación: Una autoridad certificadora es aquella tercera parte que certifica y garantiza la relación entre una clave pública y su propietario real. Actúan como un Notario electrónico, extendiendo un certificado de clave el cual va firmado con su propia clave, para así garantizar dicha información.
Pero también se ve necesario la existencia de otra autoridad certificadora de mayor jerarquía que certifica a dicho notario electrónico.
En Internet estos intermediarios serán unos programas ejecutándose en unos computadores, los cuales son denominados Servidores de Clave o Autoridades de Certificación.
Para evitar que se falsifiquen los certificados, la clave pública de la CA debe ser fiable: una CA debe publicar su clave pública o proporcionar un certificado de una autoridad mayor que certifique la validez de su clave. Esta solución da origen a diferentes niveles o jerarquías de CAs.
En cuanto a los Certificados, son registros electrónicos que atestiguan que una clave pública pertenece a determinado individuo o entidad. Permiten verificar que una clave pública pertenece a una determinada persona. Los certificados intentan evitar que alguien utilice una clave falsa haciéndose pasar por otro.
Estos Certificados contienen:
1.12.5.3 Clases de certificados. Actualmente en el mercado se soportan tres clases de certificados distintos; cada clase provee un nivel de autenticación y credibilidad diferente. La mayoría de los certificados emitidos cumplen con el estándar X.509 v.3 pero se prevé su evolución hacia otros estándares como es el SET.
Certificado clase 1: Se emiten para uso individual y confirman la relación existente entre una dirección de correo y el nombre de usuario (alias). Este tipo de certificado se notifica electrónicamente a los subscriptores y se añade a su grupo de certificados personales. El certificado clase 1, se utiliza básicamente en e-mail personales y navegadores, también se utiliza en secuencias de comunicaciones, garantizando que las siguientes comunicaciones son del mismo usuario.
En este certificado, no se chequea la identidad del subscriptor, representando simplemente la no ambigüedad del nombre y la dirección de e-mail del subscriptor. El certificado clase 1, provee el nivel más bajo de autenticidad de todos los certificados emitidos y no se recomienda su utilización comercial, donde se requiere la verificación de la identidad. La Autoridad de Certificación tiene el derecho, pero no la obligación de revocar certificados clase 1.
Certificado clase 2. En esta clase de certificado, se confirma que la información provista por el subscriptor no entra en conflicto con otra información ya almacenada en bases de datos reconocidas, es decir, la Autoridad de Certificación confirma los datos suministrados por el subscriptor a terceras partes.
Los certificados clase 2, se recomiendan especialmente para operaciones intra e inter-organizaciones, transacciones de mediano riesgo, e-mail individual, reemplazo de password, validación de software y servicios de suscripción on-line.
Certificado clase 3. Este certificado se emite para particulares y organizaciones.
1.12.5.4 ¿Qué función realiza un certificado? La función principal de un certificado es asegurar la validez de una clave pública. Resulta evidente la importancia de estar realmente seguros de que la clave pública que se maneja sirva para verificar una firma o cifrar un texto, pertenece realmente a quien se cree que pertenece.
Sería nefasto cifrar un texto confidencial con una clave pública de alguien, que no es el intencionado receptor. Si se hiciera la persona a quién pertenece la clave pública con la que se ha cifrado, podría conocer perfectamente el contenido de este, si tuviera acceso al texto cifrado.
Y el intencionado receptor perdería toda posibilidad de acceder al texto cifrado.
De la misma forma si se manejara una clave pública de alguien que se hace pasar por otro, sin poderlo detectar, se podria tomar una firma fraudulenta por válida y creer que ha sido realizada por alguien que realmente no lo es.
1.12.5.5 Contenido de un certificado Principalmente los certificados llevan los siguientes campos:
1.12.5.6 Garantía de un certificado. Para obtener la clave pública de una persona con total garantía de que sea suya y no pertenezca a ninguna otra, se debe disponer del certificado de la persona en cuestión y de la clave pública de la Autoridad de Certificación, asegurándose así la validez del certificado y la obtención segura de la clave pública en cuestión. Para más información sobre los procesos de firma digital de los certificados.
1.12.5.7 Gestión de un certificado. La gestión de un certificado, incluye las acciones de:
Un Certificado se emite en respuesta a una solicitud previa de un cliente o servidor que ha superado el proceso de Autenticación que la Entidad Certificadora ha considerado necesario. Una vez emitido el certificado, el solicitante deberá aceptarlo, una vez que lo haya revisado y esté de acuerdo con los datos en él certificados y lo considere adecuado para el propósito que desee darle, contestando un correo de respuesta en el que indique su conformidad. El nuevo subscriptor, acepta las obligaciones que se señalan en esta política.
La gestión de Certificados, también incluye la desactivación de Certificados a través de un proceso de suspensión y/o revocación de Certificados. Esta desactivación se produce bien por la expiración del plazo de validez del certificado o bien por el uso fraudulento del mismo.
1.12.5.8 Servidores de certificado. Son aplicaciones destinadas a crear, firmar y administrar certificados de claves, y que permiten a una empresa u organización constituirse en autoridades de certificación para asistir sus propias necesidades. Los productos más famosos son Netscape Certificate Server y OpenSoft. Actualmente existen varias empresas de certificación, siendo Verisign la más conocida internacionalmente. Verisign es una de las empresas que brinda servicios de certificación. Estos servicios han sido diseñados básicamente para brindar seguridad al comercio electrónico y a la utilización de la firma digital. Para el logro de este objetivo, las autoridades de emisión, autorizadas por Verisign funcionan como terceras partes confiables, emitiendo, administrando, suspendiendo o revocando certificados. A continuación en la figura se ilustra la jerarquía que se trabaja en las autoridades certificadoras [7]
Jerarquía de autoridades certificadoras.
1.12.5.9 Autoridades certificadoras internacionales: podemos encontrar en la varias entidades certificadoras, entre las más utilizadas se encuentran