Una política de certificado (CP) es un documento que tiene como objetivo establecer cuáles son las diferentes entidades de una infraestructura de clave pública (PKI), sus roles y sus deberes. Este documento se publica en el perímetro de la PKI.
Cuando se usa con certificados X.509 , se puede configurar un campo específico para incluir un enlace a la política de certificado asociada. Por lo tanto, durante un intercambio, cualquier parte que confía tiene acceso al nivel de garantía asociado con el certificado y puede decidir el nivel de confianza que depositará en el certificado.
RFC 3647
El documento de referencia para redactar una política de certificados es, a diciembre de 2010[actualizar], RFC 3647 . El RFC propone un marco para la redacción de políticas de certificados y declaraciones de prácticas de certificación (CPS). Los puntos que se describen a continuación se basan en el marco presentado en el RFC.
Puntos principales
Arquitectura
El documento debe describir la arquitectura general de la PKI relacionada, presentar las diferentes entidades de la PKI y cualquier intercambio basado en certificados emitidos por esta misma PKI.
Usos del certificado
Un punto importante de la política de certificados es la descripción de los usos autorizados y prohibidos de los certificados. Cuando se emite un certificado, se puede indicar en sus atributos qué casos de uso se pretende cumplir. Por ejemplo, se puede emitir un certificado para la firma digital de correo electrónico (también conocido como S / MIME ), cifrado de datos, autenticación (por ejemplo, de un servidor web , como cuando se usa HTTPS ) o emisión adicional de certificados (delegación de autoridad) . Los usos prohibidos se especifican de la misma manera.
Naming, identificación y autenticación
El documento también describe cómo se deben elegir los nombres de los certificados y, además, las necesidades asociadas de identificación y autenticación . Cuando se llena una solicitud de certificación, la autoridad de certificación (o, por delegación, la autoridad de registro ) es la encargada de verificar la información proporcionada por el solicitante, como su identidad. Esto es para asegurarse de que la CA no participe en un robo de identidad .
Generación de claves
La generación de las claves también se menciona en una política de certificados. A los usuarios se les puede permitir generar sus propias claves y enviarlas a la CA para la generación de un certificado asociado. La PKI también puede optar por prohibir las claves generadas por el usuario y proporcionar una forma separada y probablemente más segura de generar las claves (por ejemplo, mediante el uso de un módulo de seguridad de hardware ).
Procedimientos
Los diferentes procedimientos para la solicitud, emisión, aceptación, renovación, re-clave, modificación y revocación de certificados son una gran parte del documento. Estos procedimientos describen cómo debe actuar cada actor de la PKI para que se acepte todo el nivel de garantía.
Controles operacionales
Luego, se encuentra un capítulo sobre controles físicos y de procedimiento, procedimientos de auditoría y registro involucrados en la PKI para garantizar la integridad , disponibilidad y confidencialidad de los datos .
Controles tecnicos
Esta parte describe cuáles son los requisitos técnicos con respecto al tamaño de las claves , la protección de las claves privadas (mediante el uso del depósito de claves ) y varios tipos de controles relacionados con el entorno técnico (computadoras, red).
Listas de revocación de certificados
Esas listas son una parte vital de cualquier infraestructura de clave pública y, como tal, se dedica un capítulo específico a la descripción de la gestión asociada a estas listas, para garantizar la coherencia entre el estado del certificado y el contenido de la lista.
Auditoría y evaluaciones
La PKI debe ser auditada para garantizar que cumpla con las reglas establecidas en sus documentos, como la política de certificados. Los procedimientos utilizados para evaluar dicho cumplimiento se describen aquí.
Otro
Este último capítulo aborda todos los puntos restantes, por ejemplo, todos los asuntos legales asociados a la PKI.