Pagina nueva 1

Son documentos, digitales, emitidos por las llamadas entidades prestadoras de servicios de certificación. Las más conocidas son www.feste.com, , www.ace.es, www.fnmt.es y www.ips.es ( Fundación para el estudio de la seguridad de las telecomunicaciones; Agencia de certificación electrónica; Fábrica Nacional de Matasello y Timbre; e Internet Publishing Services, respectivamente ). Sirven para garantizar la identidad de las partes en la transacción; la privacidad de la misma; la comprobación de la posible alteración no autorizada del mensaje; y el no repudio.

A su vez, y como comentábamos en el apartado anterior, a través de la correspondiente activación del candado mencionado, podemos acceder al contenido del certificado, el cual, según la regulación nacional española, ha de, como mínimo, contener las siguientes informaciones - para ser considerados como incorporadores de firma electrónica avanzada - : La indicación de que se expiden como tales; El código identificativo único del certificado; La identificación del prestador que lo ha expedido o librado, con mención de su nombre o razón social, domicilio, e-mail, nº de identificación fiscal, y en su caso, sus datos de identificación registral; La firma electrónica avanzada del prestador emisor de tal certificado; La identificación del signatario - el que intenta hacer valer su firma a través del certificado - por su nombre y apellidos, o un pseudónimo, pudiéndose también incoporar cualquier otra circunstancia personal cuando esta sea significativa, siempre y cuando se dé consentimiento en cuanto a ello por parte del firmante; En los casos de actuarse por representación, indicarán el documento en el que la misma se base; Los datos de verificación de firma -clave pública - que correspondan a los de creación de firma - clave privada -

- Un identificador único o número de serie.

- El algoritmo de firma.

- Los datos de la Autoridad de Certificación.

- Las fechas de expedición y expiración del certificado.

- La identificación del titular del certificado. Esta identificación ha de incluir como mínimo el e-mail. También puede incluir otros datos del titular, el nombre, DNI, profesión, titulación, cargo, empresa en la que trabaja, grupo al que está afiliado, etc.

- La clave pública del titular del certificado

- Los usos del certificado.

8.2. Validez de un certificado y CRL

Un Certificado es válido desde su fecha de expedición hasta su fecha de expiración.

Pero, si un titular ha hecho un mal uso de un certificado o lo ha perdido, el certificado se ha dañado, la clave privada del certificado ha sido comprometida, los datos del certificado han cambiado o han dejado de ser válidos, etc. El certificado a pesar de no haber expirado ha dejado de ser válido.

La Autoridad de Revocación es la encargada de Revocar el Certificado.

La Autoridad de Certificación es la encargada de publicar la Lista de Certificados Revocados (CRL). La lista de certificados que han dejado de ser válidos y en los que no se debe confiar.

Persona jurídica: Estos certificados identifican a una persona física, siempre que ésta tenga poder notarial dentro de una empresa. Son utilizados para la representación de una empresa, por parte de una persona física. Identifican a una persona con poder de firma dentro de la empresa.

Servidor: Asegura la comunicación entre el usuario de una página web y el servidor donde está alojada la propia web. Esta comunicación se realiza mediante cifrado SSL V3. También se asegura, según los certificados, que la identidad de la empresa que aparece en la web, es la verdadera.

Personales: Los Certificados personales acreditan en primer lugar la identidad de una persona.

Además, pueden acreditar distintos atributos asociados a dicha persona: su capacidad profesional, su pertenencia a una organización, su cargo en una empresa, sus poderes sobre una empresa, su titulación, su domicilio habitual, etc.

El Certificado de Servidor aporta a un WEB SITE la característica de seguridad y confianza necesaria para poder entablar cualquier tipo de relación con los potenciales usuarios. Es el elemento necesario para poder aprovechar la gran vía de negocio que supone el comercio a través de Internet con la máxima rentabilidad y seguridad.

Los Certificados de Servidor permiten incorporar el protocolo SSL (Secure Socket Layer) en un servidor Web. Gracias a este protocolo toda comunicación entre el cliente y el servidor permanece segura, cifrando la información que se envía a ambos puntos protegiendo los datos personales, datos de tarjetas de crédito, números de cuenta, passwords, etc. Cobra especial importancia dentro del área del comercio electrónico, donde la seguridad de los datos es la principal barrera para el desarrollo de este sistema

Los Certificados WAP permiten a las WEB comerciales existentes y de nueva creación la realización de transacciones seguras con los consumidores móviles. Los nuevos portales basados en transacciones móviles seguras expandirán el comercio electrónico entre los usuarios móviles y los WEB SITES dedicados al comercio.

Los servidores WAP necesitan proporcionar seguridad y confianza a los usuarios potenciales. Esta es la base para que se establezca una contraprestación que satisfaga a ambas partes. Los Certificados WAP permiten mantener conexiones seguras basadas en encriptación y autenticación con dispositivos de telefonía móvil. Certificados Personales Otorgan seguridad a los correos electrónicos basados en un standard S/MIME. Podrá Firmar o cifrar los mensajes de correo para asegurarse de que sólo el receptor designado sea el lector de nuestro mensaje.

Es la solución óptima para las empresas que quieran disponer de un sistema de generación de cualquier tipo de Certificado para sus usuarios (trabajadores, proveedores, clientes, etc.) y servidores.

Una CA Corporativa puede generar cualquier tipo de certificado, ya sean Certificados Personales, de Servidor, para WAP, para firmar Código e incluso para IPSec-VPN. En función del tipo de funcionalidad que se le quiera dar a la CA se deberá escogerse un diferente tipo de CA Corporativa.

El Certificado para la Firma de Código, permitirá a un Administrador, Desarrollador o Empresa de Software firmar su Software (ActiveX, Applets Java, Plug -ins, etc.) y Macros, y distribuirlo de una forma segura entre sus clientes.

Los Certificados para VPN son los elementos necesarios para que la empresa aproveche las cualidades y ventajas de la utilización de las VPNs de un modo plenamente seguro.

Las VPNs surgen como consecuencia de la creciente demanda de Seguridad en las comunicaciones ya sea entre Router-Router o Cliente-Servidor. La apertura de las redes corporativas a empleados remotos (con gran importancia en el caso del Teletrabajo), sucursales, business partners o clientes.

Todos o algunos de estos tipos de Certificados Digitales son proporcionados por las autoridades de certificación o, como señala la legislación española sobre firma electrónica, los prestadores de servicios de certificación. Una de estas autoridades es
IPSCA que es fundada con el objetivo de comercializar Certificados Digitales, actuando como una tercera parte que verifica, autentica y certifica identidades sobre Internet. Además, IPSCA, también establece Autoridades de Certificación a terceros.

La obtención de un certificado puede hacerse de dos formas: petición on -line y petición postal. Dependiendo del tipo de certificado debe procederse de una u otra forma.

Por ejemplo, en el caso de la petición de certificados personales, la lógica y la operativa apuntan a que la petición sea on-line. Es decir, a la hora de pedir un certificado personal se debe rellenar un cuestionario con los datos personales del
solicitante directamente en una Web (en el caso de IPSCA, www.ipsca.com) y, dependiendo de la clase de certificado personal, remitir una fotocopia de la documentación a la Autoridad de Certificación o personarnos físicamente en la Autoridad de Registro al efecto. Una vez superados estos trámites la CA firmará el certificado y se lo entregará a su titular.

El caso de la petición postal resulta indicado, por ejemplo, para la petición de Certificados para Servidor. De hecho resulta un sistema mixto, pues como contacto inicial debe enviarse una copia de la CSR por e-mail y después, a través de correo postal, la documentación necesaria.

8.5. ¿Cuánto cuestan los certificados digitales?

A pesar de que no hay uniformidad de precios al permitir el Gobierno su concurrencia en un régimen de libre competencia, se puede decir, a modo de ejemplo, que para un particular, sin ánimo de lucro, puede oscilar entre diez mil o doce ptas. el primer año, con una renovación anual de sobre las mil o dos mil ptas., o bien, para establecer una web segura, desde las doscientas mil. De cualquier forma, también los hay, de tipo personal, desde unas 2000/ptas. año, hasta 8 ó 10 indicadas. Hemos de comentar, no obstante, que el precio dependerá - entre otras cosas - del grado de certificación que nos reporten con el uso del certificado.

Ejemplo: No es lo mismo que no comprueben nuestra identidad a la hora de solicitarlo - con lo cual no se acreditará, con el uso del mismo, nuestra verdadera identidad -, que otro en el que previamente, y de forma presencial, sí se haya comprobado dicha circunstancia.