¿Sirve para algo la garantía de un certificado SSL?

La respuesta corta sería : no. La garantía de los certificados no sirven realmente para nada porque es prácticamente imposible que se hagan efectivas. Digamos que la garantía funciona como el pan “de pueblo” o la comida “casera”, no deja de ser un reclamo.

Certificados en Comodo-apetekan181
La garantía de los certificados SSL

¿En qué consiste y qué cubre la garantía de un certificado?

La garantía del certificado SSL cubre cualquier daño que pueda derivarse de la emisión indebida de un certificado a una entidad fraudulenta. Por ejemplo, si un usuario se conecta a un sitio web fraudulento pero ha obtenido un certificado de una autoridad de certificación reconocida, ese es un caso en el que la garantía del certificado puede aplicar porque ha sido culpa de la Autoridad Certificadora (CA).

Ojo, la garantía cubre al usuario final, no al propietario del certificado. En este sentido, el concepto de la garantía del SSL puede ser engañosa porque el propietario del certificado SSL no puede reclamarlo. La garantía se aplica sólo a los usuarios finales. Si alguien compra un producto de un sitio HTTPS seguro y esto lleva a una pérdida de dinero. En este caso, el usuario final tiene derecho a reclamar una compensación de garantía. La CA cubrirá las pérdidas de acuerdo a sus términos y condiciones.

En SSL Dragon mencionan el caso de DigiNotar, que entregó un certificado para Google.com a una empresa que no era Google.

En este artículo Scott Helme, Do SSL warranties protect you? As much as rocks keep tigers away… tenéis más detalles sobre este asunto.

Introducción algo caótica a eIDAS

Qué es eIDAS y qué aporta

eIDAS es un Reglamento de la UE que establece un conjunto de normas para la identificación electrónica y los servicios de confianza para transacciones electrónicas en el mercado único europeo.
Establece de esta forma un marco común a todos los países de la UE para la interacción electrónica segura entre los ciudadanos, las empresas y las autoridades públicas.

El eIDAS regula:

  • Los requisitos a cumplir para una firma electrónica avanzada
  • Qué se considera firma electrónica cualificada
  • Qué es un certificado cualificada
  • Los servicios de confianza para crear, validar y verificar firmas electrónicas, sellos de tiempo (timestamp), sellos y certificados y define también quienes son los prestadores de servicios de confianza

Tipos de Firma Electrónica

eIDAS define dos tipos de Firmas Electrónicas:

  • Firmas Electrónicas Avanzadas, Advanced Electronic Signatures (AdES)
  • Firmas Electrónicas Cualificadas, Qualified Electronic Signatures (QES)

De esta forma, se proporciona coherencia en todos los estados miembros de la UE en la forma en que se lleva a cabo la firma de documentos.

Tanto la AdES como la QES prueban la identidad del firmante y son el equivalente a una firma analógica. La principal diferencia es la aceptación por parte de otros estados miembros de la UE (es decir, estados distintos de donde se originó el proveedor de confianza). AdES puede ser aceptado por otros estados miembros, pero QES debe ser aceptado. También es importante señalar que no se negará a una AdES el efecto jurídico y la admisibilidad como prueba en los procedimientos judiciales por el mero hecho de que esté en forma electrónica o que no cumpla los requisitos para las firmas electrónicas cualificadas.

Por último, eIDAS también introduce el reconocimiento de los sellos electrónicos que son como las firmas pero que sólo pertenecen a personas jurídicas y entidades corporativas. Esto permite a las organizaciones firmar documentos como un departamento en lugar de tener que utilizar un firmante autorizado.

Los sellos de tiempo (timestamp) se usarán en todas las firmas electrónicas a fin de verificar la hora vinculada a la firma.

Servicios que se ofrecen y quién lo puede ofrecer

Bajo ese marco regulatorio, se ofrecen los siguientes servicios:

  • Certificado cualificado para la firma electrónica
  • Certificado cualificado para el sello electrónico
  • Certificado cualificado para la autenticación de sitios web
  • Servicio de validación cualificado para la firma electrónica cualificada
  • Servicio de preservación cualificado para la firma electrónica cualificada
  • Servicio de validación cualificado para el sello electrónico cualificado
  • Servicio de preservación cualificado para el sello electrónico cualificado
  • Sello de tiempo cualificado
  • Servicio cualificado de entrega electrónica registrada

Trusted List Browser
Busca en la página de la UE los servicios de confianza por distintos criterios de búsqueda (país, tipo o nombre de servicio…)

Y para poder ofrecer alguno de estos servicios, la empresa que los ofrezca debe ser un Proveedor Cualificado de Servicios de Confianza, Qualified Trust Service Provider (QTSP).

Para ser considerado un QTSP (The role of a QTSP), debe haber recibido la condición de calificado por parte de un órgano gubernamental supervisor que dé permiso a esa entidad para prestar estos servicios. En el marco del eIDAS, la UE mantiene una lista con los proveedores y servicios que han recibido la condición de cualificados (EU Trusted List). Si una entidad no figura en esa lista, no se le permite prestar servicios fiduciarios cualificados.