documentación específica de certificados para sitios

Anuncio
DOCUMENTACIÓN ESPECÍFICA DE CERTIFICADOS PARA SITIOS
WEB
 IZENPE 2015
Este documento es propiedad de IZENPE, únicamente puede ser reproducido en su totalidad.
1 Introducción
El presente documento recoge la Documentación específica (o política de certificación)
correspondiente a los certificados emitidos por Ziurtapen eta Zerbitzu Enpresa - Empresa de
Certificación y Servicios, Izenpe, S.A. (en adelante, Izenpe) para sitios web en sus diferentes
variantes.
Su finalidad es detallar y completar para este tipo de certificados lo definido de forma genérica en
la Declaración de Prácticas de Certificación de Izenpe, en los documentos específicos del
CA/Browser Forum (Baseline Requirements y EV guidelines para la emisión de certificados para
sitios web) y en las especificaciones de ETSI (www.etsi.org).
Así, Izenpe sigue las siguientes políticas de certificación establecidas por ETSI:
•
•
•
DVCP (Domain Validation Certificates Policy): en los certificados “SSL DV”.
OVCP (Organizational Validation Certificates Policy): en los certificados “SSL OV” y “Sede”.
EVCP (Extended Validation Certificates Policy): en los certificados “Sede EV” y “SSL EV”.
En el ámbito del proyecto de Google Certificate Transparency, los certificados SSL EV y Sede EV
emitidos se publicarán en el servicio CT Log de Izenpe y de otros proveedores de log servers con los
cuales Izenpe tiene un acuerdo con el fin de cumplir los requisitos de Google.
1.1
Descripción de certificados
Izenpe emite estos certificados con la finalidad de permitir a sus suscriptores ofrecer una seguridad
adicional en sus servicios web.
Respecto al tipo de certificado Izenpe emite,
SSL
SEDE ELECTRÓNICA
SSL DV
Sede
SSL OV
Sede EV
SSL EV
Este tipo de certificado tiene como finalidad establecer comunicaciones de datos en servidores
web vía SSL/TLS.
Permiten la encriptación de las comunicaciones entre el usuario y el sitio web, facilitando el
intercambio de las claves de cifrado necesarias para el cifrado de la información a través de
Internet.
− CERTIFICADOS DEL TIPO SSL,
Según la validación realizada el certificado podrá ser,
SSL DOMAIN VALIDATED (SSL DV),
Este certificado, con la consideración de no cualificado, será utilizado para la
identificación de la titularidad del dominio que alberga el sitio web, proporcionando
una garantía razonable al usuario de un navegador de Internet
La validez de estos certificados puede ser de 1, 2 o 3 años.
2 de 17_2015_v1.0
SSL ORGANIZATION VALIDATED (SSL OV),
Este certificado, con la consideración de no cualificado, será utilizado para la
identificación de la titularidad del dominio y acreditación de la organización,
proporcionando una garantía razonable al usuario de un navegador de Internet de
que el sitio web al que accede es titularidad de la organización identificada en el
certificado.
La validez de estos certificados puede ser de 1, 2 o 3 años.
SSL CON VALIDACIÓN EXTENDIDA (SSL EV),
Este certificado, con la consideración de no cualificado, será utilizado para la identificación
de la titularidad del dominio y acreditación de la organización, proporcionando una
garantía robusta al usuario de un navegador de Internet de que el sitio web al que accede
es titularidad de la organización identificada en el certificado.
La validez de estos certificados puede ser de 1 o 2 años.
− CERTIFICADOS DEL TIPO SEDE ELECTRÓNICA
En el ámbito de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los
servicios públicos, Izenpe emite certificados del tipo,
SEDE ELECTRÓNICA,
Se trata de un certificado con la consideración de no cualificado en el que se identifica a la
Administración Pública, órgano o entidad administrativa titular de la sede.
Según los niveles de aseguramiento definidos en el Esquema de identificación y firma
electrónica, el certificado de Sede electrónica emitido por Izenpe es de nivel medio.
La validez de estos certificados puede ser de 1, 2 o 3 años
SEDE ELECTRÓNICA CON VALIDACIÓN EXTENDIDA EV (Sede EV),
Además de las características definidas en el certificado de Sede Electrónica la validación
extendida (EV) tiene como objetivo proporcionar un mejor nivel de autenticación de la
Administración Pública, órgano o entidad administrativa debido a una validación más
exhaustiva.
Según los niveles de aseguramiento definidos en el Esquema de identificación y
firma electrónica, el certificado de Sede electrónica emitido por Izenpe es de nivel
medio.
La validez de estos certificados puede ser de 1 o 2 años.
3 de 17_2015_v1.0
1.2
Identificación
Con el objeto de identificar los certificados, Izenpe les ha asignado los siguientes identificadores de objeto
(OID).
CERTIFICADO
1.3
OID
SSL DV
1.3.6.1.4.1.14777.1.2.4
SSL OV
1.3.6.1.4.1.14777.1.2.1
SSL EV
1.3.6.1.4.1.14777.6.1.1
Sede electrónica
1.3.6.1.4.1.14777.1.1.3
Sede electrónica EV
1.3.6.1.4.1.14777.6.1.2
Comunidad y ámbito de uso
Tendrán la consideración de usuarios,
− Solicitante del certificado, persona que solicita el certificado en nombre de la organización.
− Suscriptor de certificado, organización identificada en el certificado.
Ámbito de uso. Los certificados serán utilizados en el ámbito de las competencias propias de la
organización, Administración Pública, órgano o entidad administrativa titular del certificado.
1.4
Disposiciones generales
Obligaciones de identificación
Izenpe comprueba, por si misma o por medio de aquellas entidades con las que suscriba el
correspondiente instrumento legal, la identidad y cualesquiera otras circunstancias personales de los
solicitantes y suscriptores de los certificados.
El instrumento legal existente entre las partes incluirá la exigencia de cumplimiento de lo indicado en los
documentos del CA/Browser Forum.
Obligaciones del suscriptor del certificado
Son obligaciones del suscriptor las recogidas en la Declaración de Prácticas de Certificación, apartado
relativo a Obligaciones del Suscriptor.
4 de 17_2015_v1.0
2 Requisitos operativos
2.1
Listado de documentación requerida
Solicitud de emisión debidamente cumplimentada y firmada.
El solicitante aceptará así las Condiciones de Uso y el Contrato de Suscriptor que resulten de
aplicación en la fecha de firma de la Solicitud, publicados en www.izenpe.com.
NIF de la organización.
Acreditación,
ADMINISTRACIÓN PÚBLICA/SECTOR
PÚBLICO
CERTIFICADO
Acreditación de
organización,
−
−
SSL OV
Sede
la
vigencia
de
OTRAS ORGANIZACIONES
la
Certificación
expedida
por
Secretario/Letrado o
Referencia en Boletín Oficial en los 39
meses anteriores a la solicitud de
emisión.
Documentación no requerida en caso de
certificado vigente del tipo corporativo
reconocido o entidad emitido por Izenpe a
la organización solicitante, siempre que el
certificado haya sido emitido en los últimos
39 meses.
Acreditación de la vigencia de la
organización y de la competencia del
Solicitante para actos de administración o
celebración de contratos en nombre de la
organización
−
SSL EV
Sede EV
−
Certificación
expedida
por
Secretario/Letrado.
O referencia en Boletín Oficial en los 13
meses anteriores a la solicitud de
emisión.
Documentación no requerida en caso de
certificado vigente del tipo corporativo
reconocido o entidad emitido por Izenpe a
la organización solicitante, siempre que el
certificado haya sido emitido en los últimos
13 meses.
Acreditación de
organización,
−
−
la
vigencia
de
la
Certificación original del Registro
correspondiente.
O nota simple informativa.
Documentación no requerida en caso de
certificado vigente del tipo corporativo
reconocido o entidad emitido por Izenpe
a la organización solicitante, siempre que
el certificado haya sido emitido en los
últimos 39 meses.
Acreditación de la vigencia de la
organización y de la facultad del
Solicitante para actos de administración o
celebración de contratos en nombre de la
organización,
−
−
Certificación original del Registro
correspondiente.
O nota simple informativa.
Documentación no requerida en caso de
certificado vigente del tipo corporativo
reconocido o entidad emitido por Izenpe
a la organización solicitante, siempre que
el certificado haya sido emitido en los
últimos 13 meses.
Nota. Todas las certificaciones, una vez expedidas, tienen una validez de 13 meses.
5 de 17_2015_v1.0
2.2
Procedimiento de Solicitud
El SOLICITANTE remitirá la Solicitud de emisión y la documentación requerida a,
−
La dirección IZENPE, S.A., C/ BEATO TOMAS DE ZUMARRAGA 71 -1ª PLANTA – 01008
VITORIA-GASTEIZ.
Por vía telemática a la dirección de correo electrónico [email protected].
−
O bien a través de la aplicación dispuesta para ello en la web de Izenpe.
−
Con la firma de la Solicitud de Emisión, el solicitante acepta las Condiciones de Uso y el
Contrato de Suscriptor.
Validación de la documentación,
SSL DV
SSL OV
SSL EV
Sede
Sede EV
SSL OV
SSL EV
Sede
Sede EV
Comprobación de que el solicitante tiene el derecho de uso del dominio o subdominio
• Dominios generales (.com, .net, .org, .info, .biz, etc.): whois.icann.org
Dominios .es: www.nic.es
Dominios .eu: www.eurid.eu
Dominio .eus: whois.nic.eus
El titular (registrant) deberá coincidir con la organización solicitante. En caso contrario, el solicitante
deberá acreditar el derecho de uso por parte del suscriptor
Comprobación por email de que el solicitante tiene conocimiento de la tramitación del
certificado.
Comprobación del CAA en caso de que estén registrados y en cualquier caso siguiendo las
directrices de la RFC 6844.
Verificación de la dirección postal en,
• Agencias de Protección de Datos.
• Páginas de operadores telefónicos.
• Eudel, para municipios de Euskadi.
En el caso de discrepancia entre la documentación aportada y la comprobada, Izenpe verificará
que la dirección que consta en la Solicitud corresponde a una ubicación en la que la
Organización solicitante opera de manera estable.
En el caso de certificados SSL OV se permitirán los wildcard en subdominios o nombres de host,
siempre que la entidad solicitante pueda demostrar su legítimo control del dominio completo.
En caso contrario se rechazará la solicitud.
Por ejemplo, no se pueden emitir *.co.uk o *.local, pero si *.ejemplo.com a la empresa Ejemplo
S.A..
Comprobación de la competencia del Solicitante para actos de administración o celebración de
contratos en nombre de la organización
SSL EV
Comprobación de pertenencia del número de teléfono fijo (no móvil) a la entidad solicitante.
Sede EV
Fuentes de comprobación:
• Páginas de operadores telefónicos, Agencias de Protección de Datos o Eudel, para
municipios de Euskadi.
• Comprobación posterior mediante llamada.
Verificación que el dominio no consta en listados como de riesgo, en,
6 de 17_2015_v1.0
•
•
Las bases de datos internas de Izenpe.
Y/o en Mcafee TrustedSource
Firma dual de comprobación de la documentación por,
•
La Asesoría Jurídica
•
y el Área Técnica
Validación de las comprobaciones realizadas por el Responsable del Área Técnica.
NOTA.
−
−
−
−
−
Izenpe podrá realizar comprobaciones adicionales como pueden ser: confirmación de
petición por la organización o autorización al solicitante para tramitar el certificado en
nombre de la organización y la revisión anual de su cumplimiento mediante auditoría
externa.
En los casos en los que no se pueda realizar la validación según lo determinado, se
justificará en el documento de comprobación de la documentación.
Una vez comprobada la documentación, Izenpe dejará constancia de las comprobaciones
realizadas a través del documento de comprobación de la documentación.
Únicamente en los certificados EV, la validación es dual.
No será necesario realizar las comprobaciones anteriores, si la información ya ha sido
validada en el plazo máximo de 13 meses para los EVs, y 39 meses el resto.
7 de 17_2015_v1.0
PROCESO DE SOLICITUD Y EMISIÓN DE
CERTIFICADOS SSL EV Y SEDE EV
Solicitud
Solicitante
Telemática
o presencial
Responsable de
Seguridad
Responsable de
Área Técnica
Envío a Izenpe
documentación
Personación en RA
Validación
jurídica
Área Jurídica
Completar
formulario
solicitud
Formulario
de solicitud
SI
¿Necesari
o
identificar
?
NO
¿Docume
ntación
OK?
Acreditación
solicitante
NO
Contacto con la
entidad para la
subsanación de
errores
Acreditación
organización
Firma acta
jurídica
SI
Validación
técnica
Comprobaciones
técnicas
Contacto con entidad
para subsanación de
errores
¿OK?
NO
SI
Firma acta
técnica
Generación
petición
técnica
Generación
y entrega
Validación
expediente
completo
Contacto con entidad
para subsanación de
errores
Sslicitud
petición
técnica
¿OK?
NO
SI
Emisión
Prueba certificado y
envío de hoja de
entrega
Envío
certificado y
contrato
Archivo hoja
entrega
2.3
Emisión y entrega del certificado
Izenpe se pondrá en contacto con el Responsable Técnico indicado en la Solicitud de Emisión para que
genere la petición técnica y la remita a Izenpe por email.
En el caso de utilizar la aplicación de solicitud de Izenpe será el Responsable Técnico el encargado de
introducir la petición técnica.
Izenpe enviará el certificado al Responsable Técnico vía email o a través de la aplicación.
El solicitante deberá devolver firmada a Izenpe la Hoja de Entrega y Aceptación
2.4
Importe
Emitido el certificado, se abonará el importe según la tarifa aplicable.
Anualmente Izenpe publica en su web www.izenpe.com las tarifas aplicables e igualmente en la aplicación
dispuesta a tal efecto
8 de 17_2015_v1.0
2.5
Verificación del certificado
El Solicitante dispondrá de 15 días hábiles desde la emisión del certificado para verificar su correcto
funcionamiento y, en caso de que fuera necesario comunicar a Izenpe los defectos de funcionamiento.
Únicamente si los defectos de funcionamiento se debieran a causas tecnicas a errores en los datos
contenidos en el certificado aplicables a Izenpe, Izenpe revocará el certificado y procederá a emitir uno
nuevo asumiendo los costes derivados.
2.6
Revocación de certificados
Solicitud de revocación
Podrán solicitar la revocación del certificado,
-
-
El suscriptor.
Se entiende que están autorizados para solicitar la revocación del certificado: el Representante
Legal de la entidad suscriptora, el Responsable de Personal o tercero autorizado por cualquiera
de los anteriores.
El solicitante.
Izenpe está autorizados para solicitar la revocación de certificados de suscriptor de entidad final,
en los casos de causa técnica contemplados en la DPC.
Procedimiento
El solicitante de la revocación tramitará ante Izenpe la Solicitud de Revocación.
El certificado se podrá revocar en cualquier momento.
El solicitante podrá revocar el certificado a través de los siguientes canales,
Presencialmente ante,
o Izenpe solicitando cita previa a través de www.izenpe.com
o O ante la organización suscriptora con la que Izenpe haya suscrito el instrumento legal
pertinente.
Telefónicamente, llamando al número de teléfono 902 542 542.
Se requerirá para la identificación:
o DNI solicitante
o DNI contacto técnico
o Email solicitante
o Nombre completo del sitio (FQDN)
9 de 17_2015_v1.0
-
Online, en la dirección www.izenpe.com
-
O vía postal, remitiendo solicitud de revocación del certificado firmada y legitimada en
presencia notarial.
Causas de revocación
Pueden consultarse en la Declaración de Prácticas de Certificación www.izenpe.com
Además, en el caso de los certificados regulados en esta documentación específica Izenpe,
1. Presentará al suscriptor, a terceras partes y a los navegadores de Internet, instrucciones claras
para la presentación de denuncias o sospechas de compromiso de la clave privada, de mal uso de
certificados o de otros tipos de fraude, compromiso, mal uso, o conducta impropia en relación
con los certificados.
2. Investigará los informes de problemas dentro de las veinticuatro horas siguientes a su recepción y
decidirá sobre la revocación, atendiendo a los siguientes criterios:
-
2.7
La naturaleza del supuesto problema;
El número de informes recibidos de problemas de un certificado o página web.
La identidad de los denunciantes.
La legislación vigente.
Renovación del certificado
Para renovar un certificado, el solicitante deberá seguir el proceso de emisión de certificados establecido,
teniendo en cuenta que las comprobaciones son válidas durante 13 meses para los EVs, y 39 meses el
resto.
2.8
Auditorias e incidentes
Criterios referentes a auditorías y análisis de incidentes,
Vías a través de las cuales presentar quejas o sugerencias,
-
Telefónica: 902 542 542
10 de 17_2015_v1.0
-
Mail: [email protected]
Cumplimentación del formulario de quejas y sugerencias disponible en la dirección
www.izenpe.com
Cumplimentación de los formularios de quejas o reclamaciones disponibles en los
puestos de registro.
Registro interno de incidentes producidos.
Los incidentes de seguridad son gestionados por el Comité de Seguridad de Izenpe.
La planificación anual de auditorías se realiza según los criterios establecidos por ETSI.
Izenpe reporta aquellos casos que considere como incidentes (casos de fraude, phising, etc.) en el
sitio web del Anti-PhisingWorkGroup (www.apwg.org) y verifica de forma previa a la emisión que
el solicitante o representantes no constan en la base de datos interna de incidentes de seguridad
de Izenpe. En todo caso se reserva el derecho de emitir certificados ante situaciones sospechosas.
11 de 17_2015_v1.0
3 Gestión del cambio
Las modificaciones de este documento serán aprobadas por del Comité de Seguridad de Izenpe.
Estas modificaciones estarán recogidas en un documento de Actualización de Documentación Específica
cuyo mantenimiento está garantizado por Izenpe.
Las versiones actualizadas de la documentación específica podrán ser consultadas en la dirección
www.izenpe.com.
12 de 17_2015_v1.0
4 Perfiles de certificados y listas de certificados revocados
4.1 Certificado de SSL DV
13 de 17_2015_v1.0
4.2 Certificado de SSL OV
14 de 17_2015_v1.0
4.3 Certificado de Sede
15 de 17_2015_v1.0
4.4 Certificado de Sede EV
16 de 17_2015_v1.0
4.5 Certificado de SSL EV
17 de 17_2015_v1.0
Descargar