revocacion-del-certificado-digital

La revocación del certificado digital: qué es y cómo hacerlo

El certificado digital es un elemento que no está exento de que pueda ser extraviado o robado a través de una brecha de seguridad. Por eso se necesita tener una forma de anularlo, para que nadie puede suplantarnos la identidad. Este es el principal propósito que tiene la revocación de certificados. A continuación, entramos en profundidad sobre qué es un certificado revocado y cómo funciona el proceso de revocación.

El certificado digital es la herramienta que nos permite “identificarnos en Internet e intercambiar información con otras personas y organismos con la garantía de que sólo Ud. y su interlocutor pueden acceder a ella”, según palabras de la FNMT (Fábrica Nacional de Moneda y Timbre).

Sobre su utilidad, en este blog hemos hablado de ello en numerosas ocasiones. Con él podemos presentar y liquidar impuestos, enviar recursos y reclamaciones, consultar las multas de tráfico o el padrón municipal y una larga lista de acciones en las administraciones local, regional y estatal. De igual modo, todo tipo de operaciones se pueden realizar en el ámbito privado: identificarse digitalmente ante entidades bancarias, comprar y vender, contratar servicios, etc.

Teniendo en cuenta todo esto, en el momento en el que sospechemos que el certificado digital pueda haber sido copiado, que un tercero haya tenido acceso a nuestra clave privada o simplemente que lo hayamos extraviado y seamos incapaces de encontrarlo, lo más sensato es revocarlo y luego obtener uno nuevo.

Guía para revocar un certificado digital

¿Qué significa tener un certificado revocado y cómo se realiza?

Tal y como explica la web de FNMT, el certificado revocado es aquel que tiene “anulad su validez antes de la fecha de caducidad que consta en el mismo”. Esta revocación puede ser solicitada en cualquier momento, especialmente cuando “el titular crea que sus claves privadas son conocidas por otros”.

La revocación debe realizarse ante el mismo organismo que lo generó. Los más extendidos en España son el DNI electrónico y el de la FNMT, pero hay muchos más:

  • DNI: en caso de perder el PIN secreto, sospechar que lo conoce otra persona o perder el propio DNI, la Policía Nacional informa que estamos obligados a personarnos en una Oficina de Expedición del DNI para informar de ello y revocar así el certificado.
  • FNMT: la revocación de certificados emitidos por la Fábrica Nacional de Moneda y Timbre puede realizarse por Internet, telefónicamente o de manera presencial en algunas de las oficinas de registros de las delegaciones y administraciones de la Agencia Tributaria o en la Comisión Nacional del Mercado de Valores.
  • Certificados digitales emitidos por otros PSC (prestadores de Servicios Cualificados, anteriormente Autoridades de Certificación). Para revocar estos certificados, hay que acudir de manera presencial ante el propio PSC o Autoridades de Registro de dicho organismo. En la mayoría de estos, también existe la posibilidad de realizarlo de manera telemática, mediante un código secreto de revocación que se le facilita al usuario junto con el propio certificado. En la página web de cada PSC se puede ver con detalle el procedimiento de revocación en cada una de ellos.

Una vez se haya hecho efectiva dicha revocación, cualquier firma digital realizada con la clave privada asociada al certificado posterior a esta fecha no tendrá validez alguna.

¿Cómo conocer la validez de un certificado?

Las autoridades de certificación (AC) son las organizaciones que tienen la capacidad de emitir y revocar los certificados, aunque después de la entrada en vigor del reglamento eIDAS, se conocen como Prestadores de Servicio Cualificado (PSC) en la Unión Europea. Estas autoridades también tienen la obligación de publicar las listas de certificados revocados (CLR, por sus siglas en inglés).

Las CLR son uno de los mecanismos que sirven para comprobar si estamos ante un certificado revocado antes de su fecha de expiración, pero no es el único método. OCSP es otro servicio de validación, también compatible con las soluciones de Viafirma.

OCSP son las siglas de Online Certificate Status Protocol, es decir, Protocolo de comprobación del Estado de un Certificado En línea. Este protocolo está registrado en el RFC 6960 y fue creado con el propósito de solventar ciertos inconvenientes que tenía el uso de las listas en PKI públicas.

El proceso de verificación por OCSP es muy sencillo. El usuario manda una solicitación de verificación de un certificado a través de su cliente y el servidor le devuelve una respuesta firmada sobre su estado actual.

La principal ventaja del OCSP frente a las CLR es que ofrece una información más actualizada y reciente de la revocación de los certificados. Además, no es necesario que los facilitadores del servicio tengan que recibir y procesar las listas de certificados revocados. Eso sí, el OCSP necesita de una conexión permanente a internet para su uso, mientras que las CLR pueden almacenarse temporalmente para hacer consultas locales.

revocar certificado digital

¿Cómo evitar la revocación de tu certificado digital?

Como se suele decir popularmente, más vale prevenir que curar. Por eso, lo más recomendable es utilizar herramientas que garanticen una alta seguridad a la hora de salvaguardar los certificados digitales y no tener que recurrir a su revocación en el caso de que haya algún problema.

Una de las formas más seguras de guardar y hacer uso de un certificado digital, utilizada también por Viafirma, es la firma centralizada. De esta forma, se evita el riesgo de tenerlo instalado en un dispositivo físico (que puede ser sustraído o utilizado por terceros con facilidad).

El certificado se almacena en un servidor seguro (HSM) y para acceder a él, hay que contar con al menos dos factores de autenticación (autenticación robusta). Además del notable aumento de seguridad, también se mejora la movilidad, ya que permite al usuario firmar donde sea, sin necesidad de llevar siempre el mismo dispositivo con él.

En ocasiones, es necesario prestar la firma, ya sea un directivo de una empresa que no tiene tiempo de firmar toda la documentación que le llega o cualquier persona cuya gestoría necesita algunos permisos para realizar su trabajo. Para ello existe la figura de la delegación de firma, la cual ayuda a no poner en peligro su integridad y evitar que hagan un uso indebido o fraudulento de ella.

Gracias a las soluciones de Viafirma como Viafirma Fortress se puede delegar la firma manteniendo los niveles de seguridad a través del establecimiento de políticas para establecer cómo, cuándo y cuándo estará permitido utilizar dicho certificado delegado. En el caso de que dicha persona de confianza quiera delegar sobre un tercero, es el usuario el que debe confirmar esa autorización. Debe tenerse en cuenta que el mecanismo de delegación debe contar con cobertura legal en el territorio donde vaya a aplicarse.

Además, toda la actividad realizada con la firma queda registrada y auditada por el sistema, cualquier incidente que haya habido puede consultarse después en los registros.

En definitiva, actuar para tener nuestro certificado revocado es un proceso necesario para casos de robo o extravío que cualquier autoridad de certificación puede llevar a cabo. Afortunadamente, en la actualidad existen varias maneras eficaces de proteger dicho certificado a través de servidores seguros aprovechando las capacidades que ofrece la nube.

Firma en la nube

Almacena y gestiona eficientemente los certificados de tu empresa