Autoritat de certificació

De la Viquipèdia, l'enciclopèdia lliure

En el camp de la criptografia, una autoritat de certificació, certificadora o certificant (AC, o CA per les seues sigles en anglès Certification Authority) és una entitat de confiança, responsable d'emetre i revocar els certificats digitals o certificats, utilitzats en la signatura electrònica, amb els quals s'empra la criptografia de clau pública. Jurídicament és un cas particular de prestador de serveis de certificació.

Concepte[modifica]

L'autoritat de certificació, per si ­mateixa o mitjançant la intervenció d'una autoritat de registre, verifica la identitat del sol·licitant d'un certificat abans de la seua expedició o, en el cas de certificats expedits amb la condició de revocats, elimina la revocació dels certificats en comprovar aquesta identitat. Els certificats són documents que recullen certes dades del seu titular i la seua clau pública, i estan signats electrònicament per l'autoritat de certificació utilitzant la seua clau privada. L'autoritat de certificació és un tipus particular de prestador de serveis de certificació que legitima davant els tercers que confien en els seus certificats la relació entre la identitat d'un usuari i la seva clau pública. La confiança dels usuaris en la CA és important per al funcionament del servei i justifica la filosofia ­de la seua ocupació, però no existeix un procediment normalitzat per a demostrar que una CA mereix aqueixa confiança.

Un certificat revocat és un certificat que no és vàlid encara que s'empri dins del seu període de vigència. Un certificat revocat té la condició de suspès si la seua vigència pot restablir-se en determinades condicions.

Mecanisme de funcionament[modifica]

Sol·licitud d'un certificat[modifica]

El mecanisme habitual de sol·licitud d'un certificat de servidor web a una CA consisteix que l'entitat sol·licitant, utilitzant certes funcions del programari de servidor web, completa certes dades identificatives (entre les quals s'inclou el localitzador URL del servidor) i genera un parell de claus pública/privada. Amb aquesta informació el programari de servidor crea un fitxer que conté una petició CSR (Certificate Signing Request) en format PKCS#10 que conté la clau pública i, que es fa arribar a la CA triada. Aquesta, després de verificar per si mateixa­ mitjançant els serveis d'una RA (Registration Authority, Autoritat de Registre) la informació d'identificació aportada i la realització del pagament, envia­ el certificat signat al sol·licitant, que ho instal·la en el servidor web amb la mateixa eina amb la qual genera la petició CSR.

En aquest context, PKCS correspon a un conjunt d'especificacions que són estàndards de facto denominades Public-Key Cryptography Standards.

La jerarquia de certificació[modifica]

Les CA disposen dels seus propis certificats públics, les claus privades d'associades dels quals són emprades per les CA per a signar els certificats que emeten. Un certificat de CA pot estar autosignat quan no hi ha cap CA de rang superior que el pugui signar. Aquest és el cas dels certificats de CA arrel, l'element inicial de qualsevol jerarquia de certificació. Una jerarquia de certificació consisteix en una estructura jeràrquica de CA en la qual es parteix d'una CA autosignada, i en cada nivell, existeix una o més CAs que poden signar certificats d'entitat final (titular de certificat: servidor web, persona, aplicació de programari) o bé certificats d'altres CA subordinades plenament identificades i que la seua Política de Certificació sigui compatible amb les CA de rang superior.

Confiança en la CA[modifica]

Una de les formes per les quals un usuari estableix la confiança en una CA consisteix en la «instal·lació» en l'ordinador de l'usuari (tercer que hi confia) del certificat autosignat de la CA arran de la jerarquia en la qual es desitja confiar. El procés d'instal·lació pot fer-se, en sistemes operatius de tipus Windows, fent doble clic en el fitxer que conté el certificat (amb l'extensió «crt») i iniciant així­ l'«assistent per a la importació de certificats». Per regla general, el procés cal repetir-lo per cadascun dels navegadors que s'utilitzin en el sistema, tals com Opera, Firefox o Internet Explorer i en cada cas amb llurs funcions específiques d'importació de certificats.

Si està instal·lada una CA en el dipòsit de CA de confiança de cada navegador, qualsevol certificat signat per aquesta CA es podrà validar, ja que es disposa de la clau pública amb la qual verificar la signatura que duu el certificat. Quan el model de CA inclou una jerarquia, cal establir explícitament ­la confiança en els certificats de totes les cadenes de certificació en les quals es confia. Per a això, es pot localitzar els seus certificats mitjançant diferents mitjans de publicació a Internet, però també és possible que un certificat contingui tota la cadena de certificació necessària per a ser instal·lat amb confiança.

Normativa[modifica]

Normativa europea[modifica]

La Directiva 93/1999 ha establert un marc comú aplicable a tots els paises de la Unió Europea per la qual el nivell d'exigència que suposa la normativa signatura electrònica implica que els Prestadors de Serveis de Certificació que emeten certificats qualificats són mereixedors de confiança per qualsevol tercer que hi confiï i els seus certificats atorguen a la signatura electrònica avançada a la qual acompanyen el mateix valor que té la «signatura manuscrita» o «signatura hològrafa».

Normativa espanyola[modifica]

La Ley 59/2003 de Firma Electrónica ha derogat el Real Decreto Ley 14/1999, de 17 de setembre, sobre signatura electrònica fent més efectiva l'activitat de certificació a Espanya. Val a dir, que a nivel de la Generalitat de Catalunya és l'Agència Catalana de Certificació (CATCert).

Missió de les CA[modifica]

Finalment, les CA també s'encarreguen de la gestió dels certificats signats. Això inclou les tasques de revocació de certificats que pot instar el titular del certificat o qualsevol tercer amb interès legítim davant la CA per correu electrònic, telèfon o intervenció presencial. La llista denominada CRL (Certificate Revocation List) conté els certificats que entren en aquesta categoria, pel que és responsabilitat de la CA publicar-la i actualitzar-la degudament. Per altra banda, altra tasca que ha de realitzar una CA és la gestió associada a la renovació de certificats per caducitat o revocació.

Si la CA emet molts certificats, corre el risc que els seus CRL siguin de gran mida, el que fa poc pràctica la seua baixada per als tercers que hi confien. Per aquest motiu, desenvolupen mecanismes alternatius de consulta de validesa dels certificats, com servidors basats en els protocols OCSP i SCVP.

CA de persones i de servidors[modifica]

Els certificats d'«entitat final» de vegades designen persones (i llavors es parla de «certificats qualificats») i de vegades identifiquen servidors web (i llavors els certificats s'empren dins del protocol SSL perquè les comunicacions amb el servidor es protegeixin amb un xifrat robust de 128 bits)

CA públiques i privades[modifica]

Una CA pot ser o bé publica o bé privada. Els certificats de CA (certificats arrel) de les CA públiques poden o no estar instal·lats en els navegadors però són reconeguts com a entitats confiables, freqüentment en funció de la normativa del país en el qual operen. Les CAs públiques emeten els certificats per a la població en general (encara que de vegades estan focalitzades cap a algun col·lectiu en concret) i a més signen CA d'altres organitzacions.

CA en la Unió Europea[modifica]

L'article 11 de la Directiva 1999/93CE de signatura electrònica estableix que els estats­membres notificaran a la Comissió i als altres estats membres el següent:

  • Informació sobre esquemes voluntaris d'acreditació nacionals, incloent-hi eventuals requisits addicionals segons l'article 3(7);
  • Noms i adreces dels organismes nacionals responsables de l'acreditació i supervisió, així com dels organismes als quals es refereix l'article 3(4);
  • Noms i adreces de tots els Prestadors de Serveis de Certificació nacionals acreditats.

Existeix ja una pàgina web amb la Informació de l'Article 11 de la Directiva 1999/93.

Enllaços externs[modifica]