Verificación de firma o revocación del certificado

1. OBLIGACIONES DEL EMISOR Y DEL RECEPTOR DE LA FACTURA ELECTRÓNICA (*)

1.1. Si emites una factura electrónica:

  • Necesitas el consentimiento del receptor o cliente de forma expresa por cualquier medio, verbal o escrito.
  • Tienes que acordar con el cliente el formato de la factura electrónica y cuál va ser el medio telemático de envío.
  • Además, estás obligado a conservar la copia o matriz (conjunto de datos, tablas, base de datos o sistemas de ficheros que contienen todos los datos reflejados en las facturas junto a los programas que permitieron la generación de las facturas). Si conservas la matriz ya no es necesario conservar las copias de las facturas electrónicas firmadas, porque puedes volver a emitirlas.

1.2. Si eres una empresa que recibes una factura electrónica:

  • Tienes la obligación de conservarla en soporte informático para su futura consulta, auditoria, acreditación de compra y cómputo de garantía.
  • Estás obligado legalmente a verificar la firma de la factura electrónica y la identidad del emisor, así como comprobar que el certificado utilizado para la generación de la firma electrónica no ha perdido su eficacia por revocación (que ha sido invalidado antes de su caducidad), caducidad o cualquier causa establecida en el ordenamiento jurídico.
  • Debes guardar la información relativa a la comprobación de la validez de la firma electrónica, o que permita comprobar esta validez transcurrido un tiempo.

¿Quién es el responsable último de la validez de la firma y de su correspondiente certificado?

  • El destinatario de la factura tiene la obligación de verificar la validez de la firma y por tanto el certificado firmante. Para ello dispondrá de los medios informáticos necesarios.

(*) fuente:http://www.facturae.es/

2. NORMATIVA APLICABLE

2.1. Ley 59/2003, de 19 de diciembre, de firma electrónica.

Artículo 25 Dispositivos de verificación de firma electrónica

  1. Los datos de verificación de firma son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica.
  2. Un dispositivo de verificación de firma es un programa o sistema informático que sirve para aplicar los datos de verificación de firma.
  3. Los dispositivos de verificación de firma electrónica garantizarán, siempre que sea técnicamente posible, que el proceso de verificación de una firma electrónica satisfaga, al menos, los siguientes requisitos:
    • Que los datos utilizados para verificar la firma correspondan a los datos mostrados a la persona que verifica la firma.
    • Que la firma se verifique de forma fiable y el resultado de esa verificación se presente correctamente.
    • Que la persona que verifica la firma electrónica pueda, en caso necesario, establecer de forma fiable el contenido de los datos firmados y detectar si han sido modificados.
    • Que se muestren correctamente tanto la identidad del firmante o, en su caso, conste claramente la utilización de un seudónimo, como el resultado de la verificación.
    • Que se verifiquen de forma fiable la autenticidad y la validez del certificado electrónico correspondiente.
    • Que pueda detectarse cualquier cambio relativo a su seguridad.
  4. Asimismo, los datos referentes a la verificación de la firma, tales como el momento en que ésta se produce o una constatación de la validez del certificado electrónico en ese momento, podrán ser almacenados por la persona que verifica la firma electrónica o por terceros de confianza.

Artículo 23 Limitaciones de responsabilidad de los prestadores de servicios de certificación

  1. El prestador de servicios de certificación no será responsable de los daños y perjuicios ocasionados al firmante o terceros de buena fe, si el firmante incurre en alguno de los siguientes supuestos:
    • No haber proporcionado al prestador de servicios de certificación información veraz, completa y exacta sobre los datos que deban constar en el certificado electrónico o que sean necesarios para su expedición o para la extinción o suspensión de su vigencia, cuando su inexactitud no haya podido ser detectada por el prestador de servicios de certificación.
    • La falta de comunicación sin demora al prestador de servicios de certificación de cualquier modificación de las circunstancias reflejadas en el certificado electrónico.
    • Negligencia en la conservación de sus datos de creación de firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación.
    • No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma.
    • Utilizar los datos de creación de firma cuando haya expirado el período de validez del certificado electrónico o el prestador de servicios de certificación le notifique la extinción o suspensión de su vigencia.
    • Superar los límites que figuren en el certificado electrónico en cuanto a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con él o no utilizarlo conforme a las condiciones establecidas y comunicadas al firmante por el prestador de servicios de certificación.
  2. En el caso de los certificados electrónicos que recojan un poder de representación del firmante, tanto éste como la persona o entidad representada, cuando ésta tenga conocimiento de la existencia del certificado, están obligados a solicitar la revocación o suspensión de la vigencia del certificado en los términos previstos en esta ley.
  3. Cuando el firmante sea una persona jurídica, el solicitante del certificado electrónico asumirá las obligaciones indicadas en el apartado 1.
  4. El prestador de servicios de certificación tampoco será responsable por los daños y perjuicios ocasionados al firmante o a terceros de buena fe si el destinatario de los documentos firmados electrónicamente actúa de forma negligente. Se entenderá, en particular, que el destinatario actúa de forma negligente en los siguientes casos:

a)      Cuando no compruebe y tenga en cuenta las restricciones que figuren en el certificado electrónico en cuanto a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con él.

b)      Cuando no tenga en cuenta la suspensión o pérdida de vigencia del certificado electrónico publicada en el servicio de consulta sobre la vigencia de los certificados o cuando no verifique la firma electrónica.

  1. El prestador de servicios de certificación no será responsable de los daños y perjuicios ocasionados al firmante o terceros de buena fe por la inexactitud de los datos que consten en el certificado electrónico si éstos le han sido acreditados mediante documento público, inscrito en un registro público si así resulta exigible. En caso de que dichos datos deban figurar inscritos en un registro público, el prestador de servicios de certificación podrá, en su caso, comprobarlos en el citado registro antes de la expedición del certificado, pudiendo emplear los medios telemáticos facilitados por los citados registros públicos.

Número 5 del artículo 23 redactado por el apartado cuatro del artículo 5 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información («B.O.E.» 29 diciembre).Vigencia: 30 diciembre 2007

  1. La exención de responsabilidad frente a terceros obliga al prestador de servicios de certificación a probar que actuó en todo caso con la debida diligencia.

3. POLITICAS DE CERTIFICACIÓN (FNMT)

3.1.1 Procedimientos de consulta del estado de los Certificados

Art. 9.13 Procedimientos de consulta del estado de los Certificados

El Suscriptor del Certificado no tendrá acceso a las Listas de Revocación. No obstante, dispone de una aplicación en la dirección

http://www.ceres.fnmt.es/index.php?cha=cit&sec=verify_state&fpage=1

a través de la cual y previa autenticación con sus Datos de creación de Firma, se le informará acerca del estado de su Certificado.

Este servicio estará disponible las veinticuatro (24) horas del día, todos los días del año, salvo por circunstancias ajenas a la FNMT-RCM u operaciones de mantenimiento. La FNMT-RCM notificará esta última circunstancia en la dirección http://www.ceres.fnmt.es si es posible con al menos cuarenta y ocho (48) horas de antelación y tratará de solventarla en un periodo no superior a veinticuatro (24) horas

Únicamente las Entidades usuarias de Derecho Público tendrán acceso a las Listas de Revocación (originaria o replicada), y en las condiciones establecidas en el correspondiente convenio de incorporación a la Comunidad Electrónica.

Las Entidades usuarias de Derecho Privado, dispondrán de un Cliente OCSP para comprobar el estado de los Certificados mediante consultas vía OCSP, según se refiere en el apartado “9.14 Servicio de validación de Certificados mediante OCSP” de la presente Declaración de Prácticas de Certificación.

Lo anterior se entiende con el alcance y límites de la legislación sobre tratamiento automatizado de datos de carácter personal y de conformidad con los correspondientes contratos o convenios por los que se regula el servicio de certificación electrónica de la FNMT-RCM.

Art. 9.14 Servicio de validación de Certificados mediante OCSP

La FNMT-RCM dispone de un servicio de respuesta OCSP (“OCSP responder”) para ofrecer servicio de OCSP a las Entidades usuarias de Derecho privado, en los términos de esta Declaración de Prácticas de Certificación y bajo los términos suscritos en el correspondiente convenio o contrato de incorporación a la Comunidad Electrónica que se firme con la Entidad usuaria. Este Servicio es el único servicio de comprobación del estado del Certificado que se pone a disposición de este tipo de Entidades usuarias, con carácter general.

Este servicio estará disponible las veinticuatro (24) horas del día, todos los días del año, salvo por circunstancias ajenas a la FNMT-RCM u operaciones de mantenimiento. La FNMT-RCM notificará esta última circunstancia en la dirección http://www.ceres.fnmt.es con al menos cuarenta y ocho (48) horas de antelación y tratará de solventarla en un periodo no superior a veinticuatro (24) horas.

El servicio funciona de la siguiente manera: El servidor OCSP verifica la firma de la petición OCSP efectuada por un Cliente OCSP registrado en el sistema, y comprueba el estado de los

Certificados incluidos en la misma. En caso de que la Firma electrónica de la solicitud sea inválida, la petición se rechaza y se retorna al cliente una respuesta denegatoria del servicio. En caso de que la petición sea válida, se emitirá una respuesta de OCSP informando acerca del estado en el que se encuentran en ese momento los Certificados incluidos en la petición.

Será responsabilidad de la Entidad usuaria obtener un Cliente OCSP para operar con el servidor OCSP puesto a disposición por la FNMT-RCM.

Es responsabilidad de la entidad usuaria solicitante del servicio OCSP obtener, en su caso, el consentimiento del titular del certificado sobre el que se solicita el servicio OCSP, así como informar a este titular de las condiciones y limitaciones correspondientes.

 

4. SITUACIÓN ACTUAL DE VERIFICACION DE FIRMAS ELECTRÓNICAS EMITIDAS POR LA FNMT.

4.1.Que hacer cuanto tenemos un documento electrónico firmado con una firma electrónica reconocida.

Cuando recibimos un documento firmado con firma electrónica reconocido podemos saber:

  • La identidad del firmante
  • La integridad del documento firmado
  • La validez temporal del certificado utilizado

Esta validación y justificante me la puede dar la aplicación que pueda leer el certificado (Acrobat Reader en caso de PDF) o bien dar una plataforma de validación de firmas. Como por ejemplo la establecida por Administración General del Estado:

VALIDe (Aplicación de Validación de firma y certificados Online de @firma)

Es la plataforma de validación que la Administración General del Estado pone a disposición de las Administraciones y de los ciudadanos para la validación de certificados.

https://valide.redsara.es/valide/

(Ojo recomendable hacerlo con Internet Explorer, Chrome y Firefox suele dar problemas.)

En el portal podremos firmar documentos, visualizar firmas, validar cerfiticados, validar sedes electrónicas y por último validar firmas.

En el servicio para validar firma introducimos el documento firmado metemos el catch-up, subimos el documento y obtenemos la validación de la firma junto con un justificante.

Os recomendamos que obtengáis este justificante en supuestos de firma que permitan obtener una fecha de firma y validación.

Sin embrago, para poder cerrar la seguridad cuando tenemos un documento firmado con firma electrónica reconocida, es necesario realizar una consulta a las CRLs (Certificate Revocation List) de la Autoridad de Certificación para comprobar si el certificado se encuentra revocado o no.

El proceso de validación de la firma no puede separarse del proceso de validación del certificado usado para la firma. Y por eso, la validación de la firma, implica también la validación del certificado.

Si el certificado no es válido, o está caducado o revocado, la firma no puede ser validada correctamente puesto que no podemos saber cuál era el estado del certificado en el momento de la firma.

Por tanto, las tres validaciones anteriores dependen de la capacidad de validar el certificado, para lo cual es necesaria una conexión a internet que permita acceder a una plataforma de validación de certificados.

Dado que la Fabrica Nacional de la Moneda y Timbre prácticamente acapara todo el mercado de firma electrónica, os adjunto los servicios de verificación que se pueden utilizar:

  • OCSP
  • Para empresas privadas
  • X
  • X
  • LDAP
  • Para organismos públicos
  • X
  • X
  • HTTP
  • No disponible
  • X
  • X

http://www.cert.fnmt.es/catalogo-de-servicios/validacion-de-certificados/ocsp

El que interesaría es el OCSP (Online Certificate Status Protocol) que es un servicio de validación on-line, de forma que podamos consultar las firmas realizadas con firma electrónica reconocida basada en certificados de la FNMT.

Digamos que esta solución sería una solución profesional que requiere la perstación del servicio por parte de la FNMT y por tanto con coste económico.

El Coste hace tres años fue de 18.000 euros cuota anual por un derecho a 50.000 consultas. (fuente)

CONCLUSIÓN

La fábrica Nacional de la Moneda y Timbre no permite comprobar o verificar el estado de revocación del certificado si no es pagando.

SOLUCIÓN

Almacenar al menos fecha de la firma (por ejemplo con justificante de firma) y en caso de conflicto con la firma solicitar a la Autoridad de Certificación justificante de revocación para el certificado concreto en la fecha concreta.

Solicitar al firmante un justificante de verificación del certificado con la fecha y hora de la firma.

LINK APICACIONES GRATUITAS PARA FIRMAR DOCUMENTOS

http://firmaelectronica.gob.es/Home/Empresas/Aplicaciones-Firma.html

Xolido Sign

http://www.xolido.com/lang/productosyservicios/firmaelectronicayselladodetiempo/xolidosign/

One Comment

Leave A Comment

You must be logged in to post a comment.