Un certificado de autenticación de sitio web calificado ( certificado QWAC ) es un certificado digital calificado bajo los servicios de confianza definidos en el Reglamento eIDAS .
Un informe de ENISA propuso seis estrategias y doce acciones recomendadas como un enfoque escalonado que apunta a los aspectos más importantes detectados como críticos para mejorar el mercado de autenticación de sitios web en Europa e introducir con éxito certificados de autenticación de sitios web calificados como un medio para aumentar la transparencia en este mercado. [1] [2]
QWAC en el contexto de otras normas
Existen diferentes tipos de certificados de autenticación de sitios web: Validado por dominio (DV), Validado por organización (OV) y Validación extendida (EV). Otra distinción que se puede hacer entre los tipos de certificados de autenticación de sitios web se relaciona con la cantidad de dominios que están protegidos por el certificado: dominio único, comodín , dominio múltiple . Los certificados de validación extendida ofrecen la más alta calidad en términos de garantía de la identidad del propietario de un certificado entre los tipos de certificados existentes en el mercado. Normalmente, el uso de un certificado EV se indica con un color verde, pero esto varía según el navegador.
El Reglamento eIDAS ha tenido en cuenta que existe un mercado establecido con sus propios esfuerzos de normalización industrial. El objetivo no es crear una interrupción con las iniciativas existentes y optimizar el esfuerzo de los proveedores calificados para alinearse tanto con las regulaciones de la UE como con los estándares del mercado existentes.
Reglamento eIDAS
En el Reglamento eIDAS, los servicios de confianza se definen como servicios electrónicos, normalmente prestados por proveedores de servicios de confianza (TSP), que consisten en firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, servicios de entrega electrónica registrada y autenticación de sitios web. [3] [4]
En esencia, el Reglamento eIDAS proporciona un marco para promover: [5]
- Transparencia y responsabilidad: obligaciones mínimas bien definidas para los TSP y responsabilidad.
- Garantía de confiabilidad de los servicios junto con requisitos de seguridad para TSP.
- Neutralidad tecnológica: evitar requisitos que solo una tecnología específica podría cumplir.
- Reglas de mercado y certeza de estandarización.
Contenido
Los certificados de autenticación de sitios web son uno de los cinco servicios de confianza definidos en el Reglamento eIDAS. El artículo 45 establece el requisito para que los proveedores de servicios de confianza emitan certificados de autenticación de sitios web calificados de estar calificados, lo que implica que serán aplicables todos los requisitos para proveedores de servicios de confianza calificados (QTSP) descritos en la sección anterior. El anexo IV define el contenido de los certificados cualificados para la autenticación de sitios web: [4]
- Una indicación de que el certificado se ha emitido como certificado calificado para la autenticación de sitios web.
- Un conjunto de datos que representan de manera inequívoca al proveedor de servicios de confianza calificado que emite los certificados calificados, incluido el estado miembro en el que está establecido ese proveedor y de manera adecuada a la situación.
- para una persona jurídica: el nombre y, en su caso, el número de registro según consta en los registros oficiales,
- para una persona física: el nombre de la persona.
- Para personas físicas: al menos el nombre de la persona a la que se ha expedido el certificado, o un seudónimo. Si se utiliza un seudónimo, se indicará claramente. Para personas jurídicas: al menos el nombre de la persona jurídica a la que se expide el certificado y, en su caso, el número de registro según consta en los registros oficiales.
- Elementos de la dirección, incluida al menos la ciudad y el estado, de la persona física o jurídica a quien se expide el certificado y, en su caso, según consta en los registros oficiales.
- Los nombres de dominio operados por la persona física o jurídica a quien se emite el certificado.
- Período de validez del certificado.
- El código de identidad del certificado, que debe ser único para el proveedor de servicios de confianza calificado.
- La firma electrónica avanzada o el sello electrónico avanzado del proveedor de servicios de confianza calificado emisor.
- La ubicación donde el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado mencionado en el punto 8 está disponible de forma gratuita.
- La ubicación de los servicios de estado de validez del certificado que se pueden utilizar para consultar el estado de validez del certificado calificado.
Referencias
- ^ Certificado QWAC en enisa.europa.eu
- ^ Certificados de autenticación de sitios web calificados por eIDAS en quovadisglobal.com
- ^ Turner, amanecer. "Entendiendo eIDAS" . Criptomático . Consultado el 12 de abril de 2016 .
- ^ a b "Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93 / CE" . EUR-Lex . El Parlamento Europeo y el Consejo de la Unión Europea . Consultado el 18 de marzo de 2016 .
- ^ Turner, Dawn M. "Proveedores de servicios de confianza según eIDAS" . Criptomático . Consultado el 17 de octubre de 2017 .