Revocación de Certificados: qué es y cómo hacerlo

El certificado digital es un elemento que no está exento de que pueda ser extraviado o robado a través de una brecha de seguridad. Por eso se necesita tener una forma de anularlo, para que nadie puede suplantarnos la identidad. Este es el principal propósito que tiene la revocación de certificados. A continuación, entramos en profundidad sobre qué es la revocación y cómo funciona.

El certificado digital es la herramienta que nos permite “identificarnos en Internet e intercambiar información con otras personas y organismos con la garantía de que sólo Ud. y su interlocutor pueden acceder a ella”, según palabras de la FNMT (Fábrica Nacional de Moneda y Timbre).

Sobre la utilidad de un certificado digital hemos hablado en profundidad en este blog numerosas ocasiones. Con él podemos presentar y liquidar impuestos, enviar recursos y reclamaciones, consultar las multas de tráfico o el padrón municipal y una larga lista de acciones en las administraciones local, regional y estatal. De igual modo, se pueden realizar todo tipo de operaciones en el ámbito privado: identificarse digitalmente ante entidades bancarias, comprar y vender, contratar servicios, etc.

Teniendo en cuenta todo esto, en el momento en el que sospechemos que el certificado pueda haber sido copiado o que un tercero haya tenido acceso a nuestra clave privada o simplemente lo hayamos extraviado y seamos incapaces de encontrarlo, lo más sensato es revocarlo y luego obtener uno nuevo.

¿Qué significa revocar un certificado y cómo se realiza?

Tal y como explica la web de FNMT, revocar un certificado es “anular su validez antes de la fecha de caducidad que consta en el mismo”. Esta revocación puede ser solicitada en cualquier momento, especialmente cuando “el titular crea que sus claves privadas son conocidas por otros”.

La revocación del certificados se debe realizar ante el mismo organismo que lo generó. Los más extendidos en España son los el del DNI electrónico y el de la FNMT, pero hay muchos más:

  • DNI: en caso de perder el PIN secreto, sospechar que lo conoce otra persona o perder el propio DNI, la Policía Nacional informa que estamos obligados a personarnos en una Oficina de Expedición del DNI para informar de ello y revocar así el certificado.
  • FNMT: la revocación de certificados emitidos por la Fábrica Nacional de Moneda y Timbre puede realizarse por internet, telefónicamente o de manera presencial en algunas de las oficinas de registros de las delegaciones y administraciones de la Agencia Tributaria o en la Comisión Nacional del Mercado de Valores.
  • Certificados emitidos por otros PSC (prestadores de Servicios Cualificados, anteriormente Autoridades de Certificación). Para revocar estos certificados, hay que acudir de manera presencial ante el propio PSC o Autoridades de Registro de dicho organismo. En la mayoría de estos, también existe la posibilidad de realizarlo de manera telemática, mediante un código secreto de revocación que se le facilita al usuario junto con el propio certificado.
  • En la página web de cada PSC se puede ver con detalle el procedimiento de revocación en cada una de ellos.

Una vez se haya hecho efectiva dicha revocación, cualquier firma digital realizada con la clave privada asociada al certificado posterior a esta fecha no tendrá validez alguna.

¿Cómo conocer la validez de un certificado?

Las autoridades de certificación (AC) son las organizaciones que tienen la capacidad de emitir y revocar los certificados, aunque después de la entrada en vigor del reglamento eIDAS, se conocen como Prestadores de Servicio Cualificado (PSC) en la Unión Europea. Estas autoridades también tienen la obligación de publicar las listas de certificados revocados (CLR, por sus siglas en inglés).

Las CLR son uno de los mecanismos que sirven para comprobar la validez de un certificado antes de su fecha de expiración, pero no es el único método. OCSP es otro servicio de validación, también compatible con las soluciones de Viafirma.

OCSP son las siglas de Online Certificate Status Protocol, es decir, Protocolo de comprobación del Estado de un Certificado En línea. Este protocolo está registrado en el RFC 6960 y fue creado con el propósito de solventar ciertos inconvenientes que tenía el uso de las listas en PKI públicas.

El proceso de verificación por OCSP es muy sencillo. El usuario manda una solicitación de verificación de un certificado a través de su cliente y el servidor le devuelve una respuesta firmada sobre el estado actual de dicho certificado.

La principal ventaja del OCSP frente a las CLR es que ofrece una información más actualizada y reciente de la revocación de los certificados, y, además, no es necesario que los facilitadores del servicio tengan que recibir y procesar las listas de certificados revocados. Eso sí, el OCSP necesita de una conexión permanente a internet para su uso, mientras que las CLR pueden almacenarse temporalmente para hacer consultas locales.

revocar certificado digital

¿Cómo evitar la revocación de tu certificado digital?

Como se suele decir popularmente, más vale prevenir que curar. Por eso, lo más recomendable es utilizar herramientas que garanticen una alta seguridad a la hora de salvaguardar los certificados digitales y no tener que recurrir a su revocación en el caso de que haya algún problema.

Una de las formas más seguras de guardar y hacer uso de un certificado digital, utilizada también por Viafirma, es la firma centralizada. De esta forma, se evita el riesgo de tenerlo instalado en un dispositivo físico (que puede ser sustraído o utilizado por terceros con facilidad).

El certificado se almacena en un servidor seguro (HSM) y para acceder a él, hay que contar con al menos dos factores de autenticación (autenticación robusta). Además del notable aumento de seguridad, también se mejora la movilidad, ya que permite al usuario firmar donde quiera que esté, sin necesidad de llevar siempre el mismo dispositivo con él.

En ocasiones, es necesario prestar la firma, ya sea un CEO de una empresa que no tiene tiempo de firmar toda la documentación que le llega o cualquier persona cuya gestoría necesita algunos permisos para realizar su trabajo. Por eso existe la figura de la delegación de firma, la cual ayuda a no poner en peligro su integridad y evitar que hagan un uso indebido o fraudulento de ella.

Gracias a las soluciones de Viafirma, se puede delegar la firma manteniendo los niveles de seguridad a través del establecimiento de políticos de dónde, cuándo y cómo está permitido utilizar dicho certificado. En el caso de que dicha persona de confianza quiera delegar sobre un tercero, es el usuario el que debe confirmar esa autorización.

Además, toda la actividad realizada con la firma queda registrada y auditada por el sistema, con lo cual cualquier incidente que haya habido puede consultarse después en los registros.

En definitiva, la revocación del certificado digital es un proceso necesario para casos de robo o extravío, que cualquier autoridad de certificación puede llevar a cabo. Afortunadamente, en la actualidad existen varias maneras eficaces de proteger dicho certificado a través de servidores seguros y aprovechar las capacidades de la nube.