¿Quién es el responsable último de la validez de la firma y de su correspondiente certificado?
(*) fuente:http://www.facturae.es/
Artículo 25 Dispositivos de verificación de firma electrónica
Artículo 23 Limitaciones de responsabilidad de los prestadores de servicios de certificación
a) Cuando no compruebe y tenga en cuenta las restricciones que figuren en el certificado electrónico en cuanto a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con él.
b) Cuando no tenga en cuenta la suspensión o pérdida de vigencia del certificado electrónico publicada en el servicio de consulta sobre la vigencia de los certificados o cuando no verifique la firma electrónica.
Número 5 del artículo 23 redactado por el apartado cuatro del artículo 5 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información («B.O.E.» 29 diciembre).Vigencia: 30 diciembre 2007
Art. 9.13 Procedimientos de consulta del estado de los Certificados
El Suscriptor del Certificado no tendrá acceso a las Listas de Revocación. No obstante, dispone de una aplicación en la dirección
http://www.ceres.fnmt.es/index.php?cha=cit&sec=verify_state&fpage=1
a través de la cual y previa autenticación con sus Datos de creación de Firma, se le informará acerca del estado de su Certificado.
Este servicio estará disponible las veinticuatro (24) horas del día, todos los días del año, salvo por circunstancias ajenas a la FNMT-RCM u operaciones de mantenimiento. La FNMT-RCM notificará esta última circunstancia en la dirección http://www.ceres.fnmt.es si es posible con al menos cuarenta y ocho (48) horas de antelación y tratará de solventarla en un periodo no superior a veinticuatro (24) horas
Únicamente las Entidades usuarias de Derecho Público tendrán acceso a las Listas de Revocación (originaria o replicada), y en las condiciones establecidas en el correspondiente convenio de incorporación a la Comunidad Electrónica.
Las Entidades usuarias de Derecho Privado, dispondrán de un Cliente OCSP para comprobar el estado de los Certificados mediante consultas vía OCSP, según se refiere en el apartado “9.14 Servicio de validación de Certificados mediante OCSP” de la presente Declaración de Prácticas de Certificación.
Lo anterior se entiende con el alcance y límites de la legislación sobre tratamiento automatizado de datos de carácter personal y de conformidad con los correspondientes contratos o convenios por los que se regula el servicio de certificación electrónica de la FNMT-RCM.
Art. 9.14 Servicio de validación de Certificados mediante OCSP
La FNMT-RCM dispone de un servicio de respuesta OCSP (“OCSP responder”) para ofrecer servicio de OCSP a las Entidades usuarias de Derecho privado, en los términos de esta Declaración de Prácticas de Certificación y bajo los términos suscritos en el correspondiente convenio o contrato de incorporación a la Comunidad Electrónica que se firme con la Entidad usuaria. Este Servicio es el único servicio de comprobación del estado del Certificado que se pone a disposición de este tipo de Entidades usuarias, con carácter general.
Este servicio estará disponible las veinticuatro (24) horas del día, todos los días del año, salvo por circunstancias ajenas a la FNMT-RCM u operaciones de mantenimiento. La FNMT-RCM notificará esta última circunstancia en la dirección http://www.ceres.fnmt.es con al menos cuarenta y ocho (48) horas de antelación y tratará de solventarla en un periodo no superior a veinticuatro (24) horas.
El servicio funciona de la siguiente manera: El servidor OCSP verifica la firma de la petición OCSP efectuada por un Cliente OCSP registrado en el sistema, y comprueba el estado de los
Certificados incluidos en la misma. En caso de que la Firma electrónica de la solicitud sea inválida, la petición se rechaza y se retorna al cliente una respuesta denegatoria del servicio. En caso de que la petición sea válida, se emitirá una respuesta de OCSP informando acerca del estado en el que se encuentran en ese momento los Certificados incluidos en la petición.
Será responsabilidad de la Entidad usuaria obtener un Cliente OCSP para operar con el servidor OCSP puesto a disposición por la FNMT-RCM.
Es responsabilidad de la entidad usuaria solicitante del servicio OCSP obtener, en su caso, el consentimiento del titular del certificado sobre el que se solicita el servicio OCSP, así como informar a este titular de las condiciones y limitaciones correspondientes.
Cuando recibimos un documento firmado con firma electrónica reconocido podemos saber:
Esta validación y justificante me la puede dar la aplicación que pueda leer el certificado (Acrobat Reader en caso de PDF) o bien dar una plataforma de validación de firmas. Como por ejemplo la establecida por Administración General del Estado:
VALIDe (Aplicación de Validación de firma y certificados Online de @firma)
Es la plataforma de validación que la Administración General del Estado pone a disposición de las Administraciones y de los ciudadanos para la validación de certificados.
https://valide.redsara.es/valide/
(Ojo recomendable hacerlo con Internet Explorer, Chrome y Firefox suele dar problemas.)
En el portal podremos firmar documentos, visualizar firmas, validar cerfiticados, validar sedes electrónicas y por último validar firmas.
En el servicio para validar firma introducimos el documento firmado metemos el catch-up, subimos el documento y obtenemos la validación de la firma junto con un justificante.
Os recomendamos que obtengáis este justificante en supuestos de firma que permitan obtener una fecha de firma y validación.
Sin embrago, para poder cerrar la seguridad cuando tenemos un documento firmado con firma electrónica reconocida, es necesario realizar una consulta a las CRLs (Certificate Revocation List) de la Autoridad de Certificación para comprobar si el certificado se encuentra revocado o no.
El proceso de validación de la firma no puede separarse del proceso de validación del certificado usado para la firma. Y por eso, la validación de la firma, implica también la validación del certificado.
Si el certificado no es válido, o está caducado o revocado, la firma no puede ser validada correctamente puesto que no podemos saber cuál era el estado del certificado en el momento de la firma.
Por tanto, las tres validaciones anteriores dependen de la capacidad de validar el certificado, para lo cual es necesaria una conexión a internet que permita acceder a una plataforma de validación de certificados.
Dado que la Fabrica Nacional de la Moneda y Timbre prácticamente acapara todo el mercado de firma electrónica, os adjunto los servicios de verificación que se pueden utilizar:
http://www.cert.fnmt.es/catalogo-de-servicios/validacion-de-certificados/ocsp
El que interesaría es el OCSP (Online Certificate Status Protocol) que es un servicio de validación on-line, de forma que podamos consultar las firmas realizadas con firma electrónica reconocida basada en certificados de la FNMT.
Digamos que esta solución sería una solución profesional que requiere la perstación del servicio por parte de la FNMT y por tanto con coste económico.
El Coste hace tres años fue de 18.000 euros cuota anual por un derecho a 50.000 consultas. (fuente)
CONCLUSIÓN
La fábrica Nacional de la Moneda y Timbre no permite comprobar o verificar el estado de revocación del certificado si no es pagando.
SOLUCIÓN
Almacenar al menos fecha de la firma (por ejemplo con justificante de firma) y en caso de conflicto con la firma solicitar a la Autoridad de Certificación justificante de revocación para el certificado concreto en la fecha concreta.
Solicitar al firmante un justificante de verificación del certificado con la fecha y hora de la firma.
LINK APICACIONES GRATUITAS PARA FIRMAR DOCUMENTOS
http://firmaelectronica.gob.es/Home/Empresas/Aplicaciones-Firma.html
Xolido Sign
http://www.xolido.com/lang/productosyservicios/firmaelectronicayselladodetiempo/xolidosign/
You must be logged in to post a comment.
One Comment