Ac

Autoridad de certificación 1

Autoridad de certificación
En criptografía una Autoridad de certificación, certificadora o certificante (AC o CA por sus siglas en inglés
Certification Authority) es una entidad de confianza, responsable de emitir y revocar los certificados digitales o
certificados, utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente
es un caso particular de Prestador de Servicios de Certificación.

Concepto
La Autoridad de Certificación, por sí misma o mediante la intervención de una Autoridad de Registro, verifica la
identidad del solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la
condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad. Los certificados son
documentos que recogen ciertos datos de su titular y su clave pública y están firmados electrónicamente por la
Autoridad de Certificación utilizando su clave privada. La Autoridad de Certificación es un tipo particular de
Prestador de Servicios de Certificación que legitima ante los terceros que confían en sus certificados la relación entre
la identidad de un usuario y su clave pública. La confianza de los usuarios en la CA es importante para el
funcionamiento del servicio y justifica la filosofía de su empleo, pero no existe un procedimiento normalizado para
demostrar que una CA merece dicha confianza.
Un certificado revocado es un certificado que no es válido aunque se emplee dentro de su período de vigencia. Un
certificado revocado tiene la condición de suspendido si su vigencia puede restablecerse en determinadas
condiciones.

Modo de funcionamiento

Solicitud de un certificado
El mecanismo habitual de solicitud de un certificado de servidor web a una CA consiste en que la entidad solicitante,
utilizando ciertas funciones del software de servidor web, completa ciertos datos identificativos (entre los que se
incluye el localizador URL del servidor) y genera una pareja de claves pública/privada. Con esa información el
software de servidor compone un fichero que contiene una petición CSR (Certificate Signing Request) en formato
PKCS#10 que contiene la clave pública y que se hace llegar a la CA elegida. Esta, tras verificar por sí o mediante los
servicios de una RA (Registration Authority, Autoridad de Registro) la información de identificación aportada y la
realización del pago, envía el certificado firmado al solicitante, que lo instala en el servidor web con la misma
herramienta con la que generó la petición CSR.
En este contexto, PKCS corresponde a un conjunto de especificaciones que son estándares de facto denominadas
Public-Key Cryptography Standards.

La Jerarquía de Certificación
Las CA disponen de sus propios certificados públicos, cuyas claves privadas asociadas son empleadas por las CA
para firmar los certificados que emiten. Un certificado de CA puede estar auto-firmado cuando no hay ninguna CA
de rango superior que lo firme. Este es el caso de los certificados de CA raíz, el elemento inicial de cualquier
jerarquía de certificación. Una jerarquía de certificación consiste en una estructura jerárquica de CAs en la que se
parte de una CA auto-firmada, y en cada nivel, existe una o más CAs que pueden firmar certificados de entidad
final (titular de certificado: servidor web, persona, aplicación de software) o bien certificados de otras CA
subordinadas plenamente identificadas y cuya Política de Certificación sea compatible con las CAs de rango
superior.


Confianza en la CA
Una de las formas por las que se establece la confianza en una CA para un usuario consiste en la "instalación" en el
ordenador del usuario (tercero que confía) del certificado autofirmado de la CA raíz de la jerarquía en la que se desea
confiar. El proceso de instalación puede hacerse, en sistemas operativos de tipo Windows, haciendo doble click en el
fichero que contiene el certificado (con la extensión "crt") e iniciando así el "asistente para la importación de
certificados". Por regla general el proceso hay que repetirlo por cada uno de los navegadores que existan en el
sistema, tales como Opera (navegador), Firefox o Internet Explorer, y en cada caso con sus funciones específicas de
importación de certificados.
Si está instalada una CA en el repositorio de CAs de confianza de cada navegador, cualquier certificado firmado por
dicha CA se podrá validar, ya que se dispone de la clave pública con la que verificar la firma que lleva el certificado.
Cuando el modelo de CA incluye una jerarquía, es preciso establecer explícitamente la confianza en los certificados
de todas las cadenas de certificación en las que se confíe. Para ello, se puede localizar sus certificados mediante
distintos medios de publicación en internet, pero también es posible que un certificado contenga toda la cadena de
certificación necesaria para ser instalado con confianza.

Normativa

Normativa Europea
La Directiva 93/1999 ha establecido un marco común aplicable a todos los países de la Unión Europea por el que el
nivel de exigencia que supone la normativa firma electrónica implica que los Prestadores de Servicios de
Certificación que emiten certificados cualificados son merecedores de confianza por cualquier tercero que confía y
sus certificados otorgan a la firma electrónica avanzada a la que acompañan el mismo valor que tiene la "firma
manuscrita" o "firma ológrafa".

Normativa Española
La Ley 59/2003 de Firma Electrónica ha derogado el Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma
electrónica haciendo más efectiva la actividad de certificación en España.

Misión de las CA
Finalmente, las CA también se encargan de la gestión de los certificados firmados. Esto incluye las tareas de
revocación de certificados que puede instar el titular del certificado o cualquier tercero con interés legítimo ante la
CA por e-mail, teléfono o intervención presencial. La lista denominada CRL (Certificate Revocation List) contiene
los certificados que entran en esta categoría, por lo que es responsabilidad de la CA publicarla y actualizarla
debidamente. Por otra parte, otra tarea que debe realizar una CA es la gestión asociada a la renovación de
certificados por caducidad o revocación.
Si la CA emite muchos certificados, corre el riesgo de que sus CRL sean de gran tamaño, lo que hace poco práctica
su descarga para los terceros que confían. Por ese motivo desarrollan mecanismos alternativos de consulta de validez
de los certificados, como servidores basados en los protocolos OCSP y SCVP.


CA de personas y de servidores
Los certificados de "entidad final" a veces designan personas (y entonces se habla de "certificados cualificados") y a
veces identifican servidores web (y entonces los certificados se emplean dentro del protocolo SSL para que las
comunicaciones con el servidor se protejan con un cifrado robusto de 128 bits)

CAs públicas y privadas
Una CA puede ser o bien publica o bien privada. Los certificados de CA (certificados raíz) de las CAs públicas
pueden o no estar instalados en los navegadores pero son reconocidos como entidades confiables, frecuentemente en
función de la normativa del país en el que operan. Las CAs públicas emiten los certificados para la población en
general (aunque a veces están focalizadas hacia algún colectivo en concreto) y además firman CAs de otras
organizaciones.

CAs en la Unión Europea
El Artículo 11 de la Directiva 1999/93CE de firma electrónica establece que los países miembros notificarán a la
Comisión y a los otros estados miembros lo siguiente:
• Información sobre esquemas voluntarios de acreditación nacionales, incluyendo eventuales requisitos adicionales
según el artículo 3(7);
• Nombres y direcciones de los organismos nacionales responsables de la acreditación y supervisión, así como de
los organismos a los que se refiere el artículo 3(4);
• Nombres y direcciones de todos los Prestadores de Servicios de Certificación nacionales acreditados.
Existe ya una página web con la Información del Artículo 11 de la Directiva 1999/93 [1].

CAs en España
El mercado de los certificados electrónicos en España cuenta con los siguientes prestadores reconocidos por el
Ministerio de Industria, Turismo y Comercio [2]

CAs en Hispanoamérica

CAs en Argentina
• Ministerio de Justicia de la Nación [3]
• Autoridad Certificante de la Oficina Nacional de Tecnologías Información [4]

CAs en Perú
En Perú la Entidad de Certificación Nacional para el Estad Peruano, que cumple funciones de Entidad de Registro y
Verificación es:
• Registro Nacional de Identificación y Estado Civil RENIEC [5]
En Perú la Autoridad Administrativa Competente de la Infraestructura Oficial de Firma Electrónica es:
• Instituto Nacional de Defensa de la Competencia y de la Propiedad Intelectual INDECOPI [6]


CAs en Chile
En Chile el Organismo que regula el mercado de Certificación Digital es el Ministerio de Economía [7].
Las Entidades de Certificación están listadas en entidadacreditadora.cl [8].

CAs en República Dominicana
En República Dominicana, Indotel [9] (Instituto Dominicano de las Telecomunicaciones) es el máximo Organismo
regulador en esta materia. En septiembre de 2006 autorizó a la empresa Avansi S.R.L [10] como primera Entidad de
Certificación para prestar los servicios de certificación digital, según la Ley 126-02 de Comercio Electrónico,
Documentos y Firma Digital.

Certificadoras gratuitas
• CAcert.org, Entidad Certificadora administrada por la comunidad
• Albalia Demo CA [11] Certificados de Prueba

Véase también
• Autoridades de certificación
• Administración Electrónica
• X.509
• PKI
• @firma
• Certificado digital

Enlaces externos
• Lista de Autoridades de Certificación clasificadas por países [12]
• Certificate authorities [13] en Open Directory Project
• Certificados incluidos en Firefox [14]
• ePass Token USB, Soluciones de Autenticación y portabilidad de certificados digitales en Firefox como Internet
Explorer [15]
• Críticas de Autoridades de Certificación [16]

Referencias
[1] http:/ / ec. europa. eu/ information_society/ eeurope/ 2005/ all_about/ security/ esignatures/ index_en. htm
[2] https:/ / www11. mityc. es/ prestadores/ resultadoBusqueda. jsp?PAG_RETORNO=busquedaPrestadores.
jsp%3FCOD_PRESTADOR%3Dninguno%26CATEGORIA_SERVICIO%3D& ID_PRESTADOR=ninguno& CATEGORIA_SERVICIO=
[3] http:/ / ca. jus. gov. ar/
[4] http:/ / ca. pki. gov. ar/
[5] http:/ / www. reniec. gob. pe
[6] http:/ / www. indecopi. gob. pe
[7] http:/ / www. minecon. cl
[8] http:/ / www. entidadacreditadora. cl
[9] http:/ / www. indotel. gov. do/
[10] http:/ / www. avansi. com. do
[11] http:/ / ca. albalia. es:8080/ democa/
[12] http:/ / www. tractis. com/ countries
[13] http:/ / dmoz. org/ Computers/ Security/ Public_Key_Infrastructure/ PKIX/ Tools_and_Services/ Third_Party_Certificate_Authorities/
[14] http:/ / www. mozilla. org/ projects/ security/ certs/ included/
[15] http:/ / www. macroseguridad. org
[16] http:/ / www. sslshopper. com/ certificate-authority-reviews. html

Fuentes y contribuyentes del artículo 5

Fuentes y contribuyentes del artículo
Autoridad de certificación Fuente: http://es.wikipedia.org/w/index.php?oldid=35380293 Contribuyentes: Alejandrosilvestri, Alexav8, Benigala, Dodo, Edmenb, Gdevianne, Joanpujol,
Lasneyx, Leandro Palacios, Lomascolo, Luiscon, Mahadeva, Marialmu, Martingala, Mnemoc, Netito777, Pieter, Rdelpozosainz, Rpozosainz, Tamorlan, Tomatejc, Toniher, Txuspe, Zytrust, 66
ediciones anónimas

Licencia
Creative Commons Attribution-Share Alike 3.0 Unported
http:/ / creativecommons. org/ licenses/ by-sa/ 3. 0/

Ac

Más contenido relacionado

Destacado (20)

Similar a Ac (20)

Más de G Hoyos A (20)

Ac