Autoritat de certificació

De Viquipèdia

En el camp de la criptografia, una autoritat de certificació, certificadora o certificant (AC, o CA per les seues sigles en anglès Certification Authority) és una entitat de confiança, responsable d'emetre i revocar els certificats digitals o certificats, utilitzats en la signatura electrònica, amb els quals s'empra la criptografia de clau pública. Jurídicament és un cas particular de prestador de serveis de certificació.

[edita] Concepte

L'autoritat de certificació, per si ­mateixa o mitjançant la intervenció d'una autoritat de registre, verifica la identitat del sol·licitant d'un certificat abans de la seua expedició o, en el cas de certificats expedits amb la condició de revocats, elimina la revocació dels certificats en comprovar aquesta identitat. Els certificats són documents que recullen certes dades del seu titular i la seua clau pública, i estan signats electrònicament per l'autoritat de certificació utilitzant la seua clau privada. L'autoritat de certificació és un tipus particular de prestador de serveis de certificació que legitima davant els tercers que confien en els seus certificats la relació entre la identitat d'un usuari i la seva clau pública. La confiança dels usuaris en la CA és important per al funcionament del servei i justifica la filosofia ­de la seua ocupació, però no existeix un procediment normalitzat per a demostrar que una CA mereix aqueixa confiança.

Un certificat revocat és un certificat que no és vàlid encara que s'empri dins del seu període de vigència. Un certificat revocat té la condició de suspès si la seua vigència pot restablir-se en determinades condicions.

[edita] Mecanisme de funcionament

[edita] Sol·licitud d'un certificat

El mecanisme habitual de sol·licitud d'un certificat de servidor web a una CA consisteix que l'entitat sol·licitant, utilitzant certes funcions del programari de servidor web, completa certes dades identificatives (entre les quals s'inclou el localizador URL del servidor) i genera un parell de claus pública/privada. Amb aqueixa informació el programari de servidor crea un fitxer que conté una petició CSR (Certificate Signing Request) en format PKCS#10 que conté la clau pública i, que es fa arribar a la CA triada. Aquesta, després de verificar per si mateixa­o mitjançant els serveis d'una RA (Registration Authority, Autoritat de Registre) la informació de identificació aportada i la realització del pagament, envia­el certificat signat al sol·licitant, que ho instal·la en el servidor web amb la mateixa eina amb la qual genera la petició CSR.

En aquest context, PKCS correspon a un conjunt d'especificacions que són estàndards de facto denominades Public-Key Cryptography Standards.

[edita] La jerarquia de certificació

Les CA disposen dels seus propis certificats públics, les claus privades de associades dels quals són emprades per les CA per a signar els certificats que emeten. Un certificat de CA pot estar auto-signat quan no hi ha cap CA de rang superior que el pugui signar. Aquest és el cas dels certificats de CA arrel, l'element inicial de qualsevol jerarquia de certificació. Una jerarquia de certificació consisteix en una estructura jeràrquica de CA en la qual es parteix d'una CA auto-signada, i en cada nivell, existeix una o més CAs que poden signar certificats d'entitat final (titular de certificat: servidor web, persona, aplicació de programari) o bé certificats d'altres CA subordinades plenament identificades i que la seua Política de Certificació sigui compatible amb les CA de rang superior.

[edita] Confiança en la CA

Una de les formes per les quals s'estableix la confiança en una CA per a un usuari consisteix en la «instal·lació» en l'ordinador de l'usuari (tercer que hi confia) del certificat autofirmado de la CA arrel de la jerarquia en la qual es desitja confiar. El procés de instal·lació pot fer-se, en sistemes operatius de tipus Windows, fent doble clic en el fitxer que conté el certificat (amb l'extensió «crt») i iniciant així­ l'«assistent per a la importació de certificats». Per regla general, el procés cal repetir-lo per cadascun dels navegadors que existeixin en el sistema, tals com Opera, Firefox o Internet Explorer, i en cada cas amb llurs funcions específiques d'importació de certificats.

Si està instal·lada una CA en el dipòsit de CA de confiança de cada navegador, qualsevol certificat signat per aquesta CA es podrà validar, ja que es disposa de la clau pública amb la qual verificar la signatura que duu el certificat. Quan el model de CA inclou una jerarquia, cal establir explícitament­la confiança en els certificats de totes les cadenes de certificació en les quals es confia. Per a això, es pot localitzar els seus certificats mitjançant diferents mitjans de publicació a Internet, però també és possible que un certificat contingui tota la cadena de certificació necessària per a ser instal·lat amb confiança.

[edita] Normativa

[edita] Normativa europea

La Directiva 93/1999 ha establert un marc comú aplicable a tots els paises de la Unió Europea per la qual el nivell d'exigència que suposa la normativa signatura electrònica implica que els Prestadors de Serveis de Certificació que emeten certificats qualificats són mereixedors de confiança per qualsevol tercer que hi confiï i els seus certificats atorguen a la signatura electrònica avançada a la qual acompanyen el mateix valor que té la «signatura manuscrita» o «signatura hològrafa».

[edita] Normativa andorrana

[edita] Normativa espanyola

La Ley 59/2003 de Firma Electrónica ha derogat el Real Decreto Ley 14/1999, de 17 de setembre, sobre signatura electrònica fent més efectiva l'activitat de certificació a Espanya.

[edita] Normativa francesa

[edita] Missió de les CA

Finalment, les CA també s'encarreguen de la gestió dels certificats signats. Això inclou les tasques de revocació de certificats que pot instar el titular del certificat o qualsevol tercer amb interès legítim davant la CA per correu electrònic, telèfon o intervenció presencial. La llista denominada CRL (Certificate Revocation List) conté els certificats que entren en aquesta categoria, pel que és responsabilitat de la CA publicar-la i actualitzar-la degudament. Per altra banda, altra tasca que ha de realitzar una CA és la gestió associada a la renovació de certificats per caducitat o revocació.

Si la CA emet molts certificats, corre el risc que els seus CRL siguin de gran mida, el que fa poc pràctica la seua baixada per als tercers que hi confien. Per aquest motiu, desenvolupen mecanismes alternatius de consulta de validesa dels certificats, com servidors basats en els protocols OCSP i SCVP.

[edita] CA de persones i de servidors

Els certificats de «entitat final» de vegades designen persones (i llavors es parla de «certificats qualificats») i de vegades identifiquen servidors web (i llavors els certificats s'empren dins del protocol SSL perquè les comunicacions amb el servidor es protegeixin amb un xifrat robust de 128 bits)

[edita] CA públiques i privades

Una CA pot ser o bé publica o bé privada. Els certificats de CA (certificats arrel) de les CA públiques poden o no estar instal·lats en els navegadors però són reconeguts com entitats confiables, freqüentment en funció de la normativa del país en el qual operen. Les CAs públiques emeten els certificats per a la població en general (encara que de vegades estan focalitzades cap a algun col·lectiu en concret) i a més signen CA d'altres organitzacions.

[edita] CA en la Unió Europea

L'article 11 de la Directiva 1999/93CE de signatura electrònica estableix que els estats­membres notificaran a la Comissió i als altres estats membres el següent:

• Informació sobre esquemes voluntaris d'acreditació nacionals, incloent-hi eventuals requisits addicionals segons l'article 3(7);
• Noms i adreces dels organismes nacionals responsables de la acreditació i supervisió, així com dels organismes als quals es refereix l'article 3(4);
• Noms i adreces de tots els Prestadors de Serveis de Certificació nacionals acreditats.

Existeix ja una pàgina web amb la Informació de l'Article 11 de la Directiva 1999/93.

[edita] Enllaços externs

• Autoritat de Certificació de la Comunitat Valenciana
• CATCert, entitat certificadora de la comunitat Autònoma de Catalunya
• Notícia del naixament de Certifica.ad, l'entitat certificadora andorrana
• Certificació de la FNMT
• CAcert.org, entitat certificadora administrada per la comunitat