Cómo afecta la RGPD a los certificados SSL

Durante estos días de tormenta de la RGPD (GDPR por sus siglas en inglés) habrás recibido decenas de correos pidiéndote una aceptación expresa para poder seguir enviándote newsletter o para comunicarte los cambios y adaptaciones de sus políticas de privacidad y protección de datos. Puede, tal vez, que hayas recibido alguna comunicación relacionada con tus certificados de seguridad.

Qué tiene que ver la RGPD con los certificados

Para obtener un certificados de tipo DV, Domain validation, (ver los distintos tipos de certificados) las entidades certificadoras pueden realizar la validación del dominio de 3 formas diferentes:

  • Validación por _email
  • Validación por DNS
  • Validación por archivo

Para la validación por DNS y por archivo, solo hay que tener acceso a la gestión DNS de tus dominios o a su sistema de archivo. Se generará una «clave» única que debe indicarse o en una entrada DNS o en un archivo localizado en una ruta concreta (<DOCUMENT_ROOT>/.well-known/pki-validation/).

Para la validación por email, la entidad certificadora (Comodo, Digicert…) enviará un correo a la dirección del titular del dominio o a una dirección de email preestablecida (admin@<DOMINIO>). Y aquí es donde la matan. Hasta ahora, hasta el 25 de mayo de 2018, Digicert podía obtener esta dirección del titular utilizando el WHOIS público, donde se mostraba información técnica del dominio así como los datos del titular del mismo. Como estos datos son considerados, con razón, datos personales, ya no se muestran de forma pública y ya no son accesibles por terceros.

Email vs DNS vs Fichero

Aunque la validación por email no es la validación más extendida para estos certificados y, desde luego, no es la más cómoda ni inmediata, es de las primeras que se implantó y puede que tu proveedor la utilice. En este caso, procura tener siempre activo (como buzón, como redirección…) una cuenta de correo admin@<DOMINIO> … y suerte.