¿Es el eIDAS 2 una amenaza para la confianza en la web pública?

"¿Es el eIDAS 2 una amenaza para la confianza en la web pública? " artículo de Nacho Alamillo en la seccion "Tecnoregulación en Prospectiva" de la edición de febrero de 2024 de la Revista Tecnología y Sentido Común TYSC a Revista Líder de Audiencia de la Alta Dirección y los Profesionales en Gestión de Proyectos, Servicios, Procesos, Riesgos y por supuesto Gobierno de Tecnologías de la Información

Los lectores de esta sección ya estarán familiarizados con la propuesta de modificación del Reglamento eIDAS, para establecer un marco para la Identidad Digital Europea (COM(2021) 281 final) –propuesta de Reglamento eIDAS 2–, que entre otras cuestiones viene a adecuar las reglas del mercado de servicios de confianza.

En esta ocasión nos vamos a centrar en la reforma de los certificados de autenticación de sitio web, en su caso cualificados, que ha generado una amarga polémica cuya resolución final aún se encuentra, en cierto modo, pendiente.

Y es que la propuesta de Reglamento eIDAS 2 modifica el régimen jurídico de estos certificados, que se vienen a corresponder con los certificados de servidor seguro empleados para proteger los accesos a las páginas web públicas mediante el protocolo TLS (https://midominio.es), garantizando el cifrado de las comunicaciones electrónicas y, en menor grado, la identidad de sus titulares.

La expedición de los certificados de servidor seguro se realiza por las denominadas autoridades de certificación, oficialmente en régimen de libre competencia, pero con sujeción a la autorregulación de los principales proveedores de software para el acceso a páginas web, incluyendo Google, Mozilla o Microsoft, que mantienen programas de Autoridad de Certificación Raíz. De este modo, para que una compañía pueda emitir un certificado de servidor seguro TLS, debe obligarse a cumplir las exigencias de estos programas, que remiten a la adopción de los requisitos administrativos, organizativos y de seguridad previstos por un foro de la industria (sin personalidad jurídica independiente) conocido como el CA/Browser Forum. Este foro ha definido, esencialmente, cuatro tipologías de certificados de servidor seguro:

• Certificado Domain Validated (DV), que se expide a una persona física u organización que acredita el derecho a utilizar un nombre de dominio, y que sólo contiene un nombre de dominio. • Certificado Individual Validation (IV), que se expide a una persona física que acredita el derecho a utilizar un nombre de dominio y que además contiene el nombre y apellidos del solicitante, verificados mediante documentos públicos o privados. • Certificado Organizational Validation (OV), que se expide a una organización que acredita el derecho a utilizar un nombre de dominio y que además contiene la denominación social y la dirección de la organización, verificadas mediante consultas a bases de datos o métodos de fiabilidad análoga…

Continuar leyendo…

Es Doctor en Derecho por la Universidad de Murcia. Licenciado en Derecho por la UNED. Auditor de Sistemas de Información certificado, CISA. Director de Seguridad de la Información certificado, CISM. Ingeniero Certificado en Soluciones de Protección de Datos, CDPSE, por ISACA. En la actualidad, es Abogado del Ilustre Colegio de Reus, Asesor de Logalty y Director General de Astrea La Infopista Jurídica SL. Asimismo, colabora con el Grupo de Investigación iDerTec de la Universidad de Murcia. También es miembro del grupo de Infraestructura de Seguridad de Firma Electrónica del Instituto Europeo de Normas de Telecomunicaciones, que normaliza los servicios de confianza, miembro de UNE CTN71/SC307, de CEN-CLC/JTC 19 y de ISO TC 307, relativos a Blockchain.Dispone de más de 100 publicaciones y ha impartido más de 400 ponencias en identidad digital, servicios de confianza y materias relacionadas.

https://www.linkedin.com/in/nachoalamillo

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad