Nivel de Seguridad. Documento Público. Aviso Importante. Este documento es propiedad de ANF Autoridad de Certificación

Transcripción

1

2 Nivel de Seguridad Documento Público Aviso Importante Este documento es propiedad de ANF Autoridad de Certificación Está prohibida su reproducción y difusión sin autorización expresa de ANF Autoridad de Certificación Copyright ANF Autoridad de Certificación 2013 Dirección: Gran Via de les Corts Catalanes Barcelona (España) Teléfono: Fax: Web:

3 1 Introducción Presentación Identificación Nombre del documento Estructura documental Identificadores OID Especificaciones Comunidad Entidades y personas que intervienen Entidad de Certificación Prestador de Servicios de Certificación Junta Rectora de la PKI Autoridad de Certificación Autoridades de Certificación Raíz Autoridades de Certificación Intermedias Autoridades de Registro Autoridad de Registro Reconocidas Autoridades de Registro Colaboradoras Responsables de Dictámenes de Emisión Responsables de Emisión de Certificados Autoridad de Validación Autoridad de Sellado de Tiempo Entidades Finales Solicitante Suscriptor Responsable del certificado Terceros que confían Uso de los certificados Usos permitidos Certificados Reconocidos Certificados no reconocidos Ámbito de uso de los certificados Límites de uso de los certificados Usos prohibidos Datos de contacto de la Entidad de Certificación Prestador de Servicios de Certificación Junta Rectora de la PKI Definiciones y acrónimos Definiciones... 42

4 1.6.2 Acrónimos Repositorios y publicación de la información Repositorios Publicación de la información de la Entidad de Certificación Política de publicación y notificación Elementos no publicados en la Declaración de Prácticas de Certificación Procedimiento de aprobación de la publicación Publicación de estado de certificados emitidos Frecuencia de publicación Control de acceso Identificación y Autenticación Nombres Tipos de nombres Issuer - Requisito del Artículo 11.2 letra c) de la Ley 59/ Subject - Requisito del Artículo 11.2 letra c) de la Ley 59/ Necesidad de que los nombres sean significativos Interpretación de formatos de nombres Unicidad de los nombres Resolución de conflictos relativos a nombres y marcas Reconocimiento, autenticación y función de las marcas registradas Validación inicial de la identidad Prueba de posesión de clave privada Autenticación de la identidad de una persona jurídica Autenticación de la identidad de una persona física Información no verificada sobre el solicitante Comprobación de las facultades de representación Identificación y autenticación en las peticiones de renovación de claves Identificación y autenticación por una renovación de claves de rutina Identificación y autenticación por una renovación de claves tras una revocación Requisitos operacionales para el ciclo de vida de los certificados Solicitud de certificados Quién puede efectuar una solicitud Registro de las solicitudes de certificados Comprobación de la solicitud Plazo para la tramitación de las solicitudes de certificados Emisión de certificados Actuaciones durante la emisión de un certificado Notificación al solicitante de la emisión del certificado... 55

5 4.3 Aceptación del certificado Forma en la que se acepta el certificado Publicación del certificado Notificación de la emisión del certificado a terceros Denegación Par de claves y uso del certificado Uso de la clave privada y del certificado por el titular Uso de la clave pública y del certificado por los terceros que confían Renovación de certificados sin cambio de claves Renovación de certificados con cambio de claves Circunstancias para una renovación con cambio de claves de un certificado Tramitación de las peticiones de renovación de certificados con cambio de claves Modificación de certificados Revocación y suspensión de certificados Causas para la revocación Entidad que puede solicitar la revocación Procedimiento de solicitud de revocación Periodo para el procesamiento de la solicitud de revocación Obligación de consulta de información de revocación de certificados Frecuencia de emisión de listas de revocación de certificados (CRL y ARL) Periodo máximo de publicación de CRL y ARL Disponibilidad de servicios de comprobación de estado de certificados Obligación de consulta de servicios de comprobación de estado de certificados Otras formas de información de revocación de certificados Servicio personalizado Servicio SOAP Servicio web Requisitos especiales en caso de compromiso de la clave privada Causas de suspensión de certificados Legitimación para solicitar la suspensión Procedimiento de solicitud de suspensión Periodo máximo de suspensión de un certificado Recuperación de certificados Custodia y recuperación de claves Prácticas y políticas de custodia y recuperación de claves Procedimientos de auditoría de seguridad Auditorías e incidentes Tipos de eventos registrados Tipos de eventos registrados en la gestión de la vida de las claves Tipos de eventos registrados con el dispositivo criptográfico Tipos de eventos registrados en el uso de la suscripción... 66

6 Tipos de información a registrar por el RA en la aplicación de certificados Tipos de información de la gestión de la vida de las claves Tipos de eventos de seguridad registrados Frecuencia de tratamiento de registros de auditoría Periodo de retención para los registros de auditoria Protección de los registros de auditoria Procedimientos de back-up de los registros de auditoría Sistema de recogida de información de auditoría (interno vs externo) Notificación al sujeto causa del evento Análisis de vulnerabilidades Archivo de informaciones y registros Tipo de informaciones y eventos registrados Periodo de retención para el archivo Protección del archivo Procedimientos de backup del archivo Requerimientos para el sellado de tiempo de los registros Sistema de archivo de información de auditoría (interno vs externo) Procedimientos para obtener y verificar información archivada Renovación de certificados o claves de una CA Renovación de certificados sin cambio de claves Renovación de certificados con cambio de claves Recuperación en caso de compromiso de una clave o de desastre Alteración de los recursos hardware, software y/o datos Revocación de la clave pública de una entidad Compromiso de la clave privada de la CA Instalación de seguridad después de un desastre natural u otro tipo de desastre Cese del Prestador de Servicios de Certificación Cese de la Autoridad de Registro Reconocida Controles de seguridad física, instalaciones, gestión y operacionales Controles físicos Ubicación y construcción Acceso físico Alimentación eléctrica y aire acondicionado Exposición al agua Protección y prevención de incendios Sistema de almacenamiento Eliminación de residuos Copias de seguridad fuera de las instalaciones Caja de seguridad bancaria Seguridad contra intrusos... 79

7 Seguridad en terminales Controles de procedimiento Roles responsables del control y gestión de la PKI Responsables de emisión de certificados Directores de área Administradores de sistemas Operadores de la Autoridad de Certificación Responsable de selección y formación Responsable de seguridad Auditores Responsable de la elaboración de Dictámenes de emisión y revocación de certificados Responsable de documentación Controles de personal Requisitos de historial, calificaciones, experiencia y autenticación Procedimientos de comprobación de antecedentes Requerimientos de formación Requerimientos y frecuencia de actualización de la formación Frecuencia y secuencia de rotación de tareas Sanciones por actuaciones no autorizadas Requisitos de contratación de terceros Documentación proporcionada al personal Actividades no permitidas Controles periódicos de cumplimiento Finalización de los contratos Controles de seguridad técnica Generación e instalación del par de claves Generación del par de claves Entrega de la clave privada a la entidad final Entrega de la clave pública al emisor del certificado Entrega de la clave pública de la CA a los terceros que confían Tamaño de las claves Algoritmos de firma de certificados Parámetros de generación de la clave pública de la CA Comprobación de la calidad de los parámetros Generación de claves en aplicaciones informáticas o en bienes de equipo Fines del uso del par de claves Protección de la Clave Privada Estándares para los módulos criptográficos Control multipersona de la clave privada Depósito de la clave privada... 90

8 6.2.4 Copia de respaldo de la clave privada Introducción de la clave privada en el módulo criptográfico Método de activación de la clave privada Método de desactivación de la clave privada Método de destrucción de la clave privada Otros aspectos de gestión del par de claves Archivo de la clave pública Periodos de utilización de las claves pública y privada Datos de activación Generación de datos de activación Protección de datos de activación Otros aspectos de los datos de activación Controles de seguridad informática Requisitos técnicos específicos de seguridad informática Evaluación del nivel de seguridad informática Controles técnicos del ciclo de vida Controles de desarrollo de sistemas Controles de ciclo de vida Controles en entorno de pruebas Procedimientos de control de cambios Controles de gestión de seguridad Controles de seguridad de red Controles de seguridad de los módulos criptográficos Perfiles de certificados, listas CRL y OCSP Perfil de certificado, OCSP y listas CRL Número(s) de versión Extensiones del certificado Perfil genérico de los certificados Identificadores de objeto (OID) de los algoritmos Campos propietarios Formatos de nombres Restricciones de nombres Identificador de objeto (OID) de la Política de Certificación Uso de la extensión Policy Constraints Sintaxis y semántica de los calificadores de política Tratamiento semántico para la extensión crítica Certificate Policy Guía de cumplimentación de campos en los certificados Campos propietarios de ANF AC Perfil de la lista de revocación de certificados (CRL) Número de versión de CRL

9 7.2.2 Lista de revocación de certificados y extensiones de elementos de la lista Perfil de OCSP Número(s) de versión Extensiones OCSP Validación de la Ruta de Certificación Auditoría de conformidad Frecuencia de los controles de conformidad para cada entidad Identificación del personal encargado de la auditoría Relación entre el auditor y la entidad auditada Listado de elementos objeto de auditoria Acciones a emprender como resultado de una falta de conformidad Tratamiento de los informes de auditoria Disposiciones generales Tarifas Tarifas de emisión de certificado o renovación Tarifas de acceso a los certificados Tarifas de acceso a la información de estado Tarifas de solicitud de sellado de tiempo Tarifas de solicitud de retimbrado Tarifas de solicitud de certificado de verificación de firma Tarifas de dispositivos de firma Tarifas para otros servicios y soluciones de ANF AC Política de reembolso Confidencialidad de la información Tipos de información confidencial Informaciones no confidenciales Divulgación de información de suspensión y revocación Divulgación legal de información Divulgación a petición del propietario Otras circunstancias de divulgación de información Derechos de propiedad intelectual Propiedad de los certificados e información de revocación Propiedad de los documentos relativos a la PKI Propiedad de la información relativa a nombres Propiedad de claves Clasificación de los documentos elaborados por ANF AC Obligaciones Del Prestador de Servicios de Certificación En la prestación del servicio

10 De operación fiable De identificación De información a usuarios Relativa a los programas de verificación Relativa a la regulación jurídica del servicio de certificación Responsabilidad de la Autoridad de Registro Reconocida Responsabilidad de los suscriptores y de los responsables de los certificados Responsabilidad de los terceros que confían Del Servicio de Publicación Responsabilidad Civil Del Prestador de Servicios de Certificación De la Autoridad de Registro Del suscriptor del certificado De los terceros que confían Del servicio de publicación Responsabilidad Financiera Cláusulas de indemnidad Límite de indemnización a los perjudicados Capacidad financiera Relaciones fiduciarias Procesos administrativos Exención de responsabilidades con el suscriptor Exención de responsabilidades con el tercero que confía Interpretación y ejecución Ley aplicable Cláusula de Jurisdicción competente Procedimientos de resolución de disputas Procedimiento aplicable para la resolución extrajudicial de los conflictos Procedimiento judicial Notificaciones Administración de la DPC y Políticas de Certificación Periodo de validez Efectos de la derogación Procedimiento de aprobación Modificaciones que no requieren publicación de nuevo documento y cambio de versión Modificaciones que requieren publicación de nuevo documento y cambio de versión Notificación de la publicación de una nueva DPC y Políticas Divisibilidad y supervivencia Acuerdo íntegro y notificación Oficina de Atención al Cliente Cometido de la Oficina

11 Procedimiento de Consulta Procedimiento de Reclamación Procedimiento de Identificación Protección de datos de carácter personal Introducción Régimen jurídico Creación de un fichero y su inscripción oficial en la AEPD Ámbito de aplicación Funciones y obligaciones del personal Sistemas de información que soportan el fichero Copias de respaldo y recuperación Control de accesos Utilización de datos reales en pruebas Normas asociadas al documento de seguridad Ámbito material Identificación y autenticación Modificación de datos del Sistema de Información Tratamiento de ficheros temporales Oposición, acceso, rectificación y cancelación de datos Acceso a datos a través de redes de comunicaciones Régimen de trabajo fuera de los locales de la ubicación del fichero Funciones y obligaciones del personal Estructura de los ficheros y descripción de los sistemas que los tratan Normativa de notificación, gestión y respuesta ante las incidencias Notificación Gestión Respuesta Registro Control interno y auditoría Procedimiento de notificación, gestión y respuesta ante las incidencias Medidas adicionales de nivel alto Control de acceso y confidencialidad de la información digital Gestión de soportes Control de accesos físicos Telecomunicaciones Modelo de registro de transmisión de datos de carácter personal de nivel alto Procedimiento de realización de copias de respaldo y recuperación de datos Modelo de registro mensual log de accesos

12 ANF Autoridad de Certificación (en adelante ANF AC) es una entidad jurídica, constituida al amparo de la Ley Orgánica 1/2002 del 22 de marzo e inscrita en el Ministerio del Interior con el número nacional y CIF G ANF AC tiene asignado el código privado de empresa (SMI Network Management Private Enterprise Code) por la organización internacional IANA -Internet Assigned Numbers Authority-, bajo la rama iso.org.dod.internet.private.enterprise ( IANA Registered Private Enterprise-). El presente documento es la Declaración de Prácticas de Certificación (DPC) de ANF AC. De acuerdo con el artículo 19 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, esta DPC detalla las normas y condiciones generales de los servicios de certificación de ANF AC, en relación con la gestión de los datos de creación y verificación de firma y de los certificados electrónicos; las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados; las medidas de seguridad técnicas y organizativas; los perfiles y los mecanismos de información sobre la vigencia de los certificados; y en especial los procesos de comprobación a los que se someten los datos facilitados por los solicitantes de certificados, a fin de determinar su veracidad. La Ley de Firma Electrónica determina que la DPC es el documento de seguridad a los efectos previstos en la legislación en materia de protección de datos de carácter personal. Este documento es de aplicación lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal; en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados y su Normativa de Desarrollo; y en el Real Decreto 1720/2007 por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999. Esta DPC, en conformidad con la legislación vigente, incorpora una sección que atiende los requerimientos de seguridad detallados en dicha normativa. Esta DPC constituye un compendio general de normas aplicables a toda la actividad de ANF AC como Prestador de Servicios de Certificación. Sin embargo, ANF AC emite diversos tipos de certificados, para los que existen Políticas de Certificación (PC) específicas. En consecuencia, el solicitante de cualquier tipo de certificado ha de conocer esta DPC y la PC que en cada caso le sea de aplicación para poder solicitar y usar de forma correcta el certificado. Lo estipulado en las Políticas de Certificación específicas prevalecerá sobre lo regulado en esta DPC. En esta DPC y en las PC relacionadas se establece la delimitación de responsabilidades de las diferentes partes intervinientes, así como las limitaciones de las mismas ante posibles daños y perjuicios. Esta DPC, con el fin de reforzar su interoperabilidad con las Administraciones Públicas, ha tenido en consideración y se ha inspirado en lo definido en el Esquema Nacional de Identificación y Firma Electrónica de las Administraciones Públicas; el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica; la Decisión 2004/387/CE del Parlamento Europeo y del Consejo, de 21 de abril de 2004, relativa a la prestación interoperable de servicios paneuropeos de administración electrónica al sector público, las empresas y los ciudadanos (IDABC) [Diario Oficial L 144 de ]; y la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. En la elaboración de este documento se ha tenido en consideración la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, con especial atención al Título II Prestación de Servicios de la Sociedad de la Información y al Título IV Contratación por Vía Electrónica.

13 La Infraestructura de Claves Públicas de ANF AC, ha sido diseñada y es gestionada en conformidad con la norma técnica (Política de requisitos para las Autoridades de Certificación que emiten certificados reconocidos). Las especificaciones técnicas (TS) que se definen en esta norma marcan los requisitos básicos en los que se refieren a la gestión y prácticas de certificación de entidades certificadoras que emiten certificados reconocidos, dentro del marco legal de la Directiva 1999/93/EC del Parlamento europeo incorporada al régimen jurídico español en la ley de firma electrónica 59/2003, y están en conformidad con la ETSI TS v (Policy Requirements for certification authorities issuing public key certificates). ANF AC está certificada según Webtrust for EV bajo las guías de emisión y gestión de certificados SSL de validación extendida (CA/Browser Forum guidelines for the issuance and management of extended validation certificates). Estas guías definidas por el CA/Browser Forum especifican los requisitos mínimos a aplicar por las Autoridades de Certificación para emitir certificados SSL-EV con el objetivo de proporcionar fiabilidad en la identificación y control de la identidad de los servicios accedidos. Esta Declaración de Prácticas de Certificación esta en conformidad con la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica (DOUE de 19 de enero de 2000) y los estándares europeos. Concretamente: RFC 5280, que sustituye la RFC 3280 "Internet X.509 Public Key Infrastructure Certificate and CRL Profile" ETSI TS v1.3.3 y RFC 3739: Qualified Certificate Profile. La Ley 59/2003 de 19 de diciembre de Firma Electrónica, en su artículo 6, limita la cualidad de titular de certificados electrónicos a las personas físicas y jurídicas. No obstante ANF AC, como Prestador de Servicios de Certificación, emite certificados de carácter técnico. Por lo tanto, esta DPC de ANF AC se aplica tanto a los certificados asociados a personas físicas y jurídicas, y por tanto sujetos a la mencionada Ley, como a los certificados técnicos, que son los vinculados a componentes informáticos. ANF AC, en conformidad con lo establecido en la Directiva 1999/93/CE Art. 7 punto 1.b, avala los servicios de certificación electrónica prestados por sus filiales: ANF Authority of Certification Ecuador, S.A de Ecuador. ANF CA Panamá, SA de Panamá. ANF Certification Authority USA CORP. Esta Declaración de Prácticas de Certificación asume que el lector conoce los conceptos de PKI, certificado y firma electrónica. En caso contrario se recomienda al lector que se forme en el conocimiento de los anteriores conceptos antes de continuar con la lectura del presente documento.

14 1.1 Presentación ANF AC en su calidad de Prestador de Servicios de Certificación, administra una Infraestructura de Claves Públicas al objeto de prestar los siguientes servicios: Servicio de Certificación, emisión de certificados reconocidos y certificados ordinarios sin la consideración legal de certificados reconocidos, en conformidad con lo establecido en la Ley 59/2003, de 19 de diciembre, de firma electrónica. Servicio de Autoridad de Sellado de Tiempo (en adelante, TSA) que permite a sus usuarios obtener una garantía que determina con plena certeza que la información existía en un momento concreto del tiempo. Servicio de Validación que permite a sus usuarios, y a los terceros que confían, beneficiarse de la verificación en origen y la comprobación del estado de los certificados basándose en el protocolo OCSP (Online Certificate Status Protocol), así como libre acceso a las listas de revocación CRL y ARL. Servicios PKI enabled. Se trata de un conjunto de soluciones basadas en certificación electrónica, productos e instrumentos basados en clave pública para el usuario final, así como componentes informáticos y especificaciones técnicas para el desarrollo de aplicaciones que emplean la firma electrónica. Servicios de Formación. Se trata de cursos y talleres de trabajo especializados en la transferencia de conocimiento sobre la firma electrónica, sus aplicaciones, beneficios y potenciales riesgos. Servicios de AR Manager. Se trata de una Red Internacional de Proximidad de Autoridades de Registro Oficiales, que ANF AC pone a disposición de sus usuarios para tramitar las solicitudes de certificados y hacer entrega a los suscriptores, de forma presencial, de instrumentos de firma electrónica. En el desarrollo de su actividad, ANF AC ha implementado un sistema de gestión de seguridad de la información para los procesos de operación y mantenimiento de la infraestructura, expedición, validación y revocación de certificados electrónicos según el estándar ISO Esta norma establece los requisitos básicos para la gestión y prácticas de certificación de entidades certificadoras que emiten certificados reconocidos dentro del marco legal de la directiva 1999/93/EC del Parlamento europeo, incorporada al régimen jurídico español en la ley de firma electrónica 59/2003. ANF AC atiende asimismo las guías de emisión y gestión de certificados SSL de validación extendida (CA/Browser Forum Guidelines for the Issuance and Management of Extended Validation Certificates). Estas guías, definidas por el CA/Browser Forum, especifican los requisitos mínimos a aplicar por las Autoridades de Certificación para emitir certificados SSL EV, con el objetivo de proporcionar fiabilidad en la identificación y control de la identidad de los servicios accedidos. En el ámbito de la presente Declaración de Prácticas de Certificación, ANF AC emite diferentes tipos de certificados. Cada certificado cuenta con una Política de Certificación específica a la que está sometido, y estas Políticas de Certificación forman parte de este documento.

15 1.2 Identificación En conformidad con los estándares de certificación electrónica, ANF Autoridad de Certificación utiliza Identificadores de Objetos (OID) definidos en el estándar ITU-T Rec. X.660 (2004) ISO/IEC :2005 Procedures for the Operation of OSI Registration Authorities: General Procedures and ASN.1 Object Identifier tree top arcs. ANF AC tiene registrado en la entidad IANA el número como OID de empresa privada ( Con el objeto de identificar de forma individual cada tipo de certificado emitido de acuerdo con la presente Declaración de Prácticas de Certificación, y en especial con la Política de Certificación a la que está sometido, se asigna un identificador de objeto (OID). Este OID aparece en la sección correspondiente del certificado. Este OID comienza siempre con la siguiente secuencia: Nombre del documento Este documento se denomina Declaración de Prácticas de Certificación de ANF AC, e internamente será citado por su acrónimo DPC Estructura documental La estructura documental de las Políticas, Declaración de Prácticas de Certificación y otros documentos relacionados con los servicios de certificación gestionados por ANF AC, queda descrita en el siguiente esquema: Declaración de Practicas de Certificación DPC Gestión PKIX Políticas de Certificación Seguridad Administrativa PC Plan de Contingencias Política de Firma Electrónica PFE Política de Validación PVA Utilización de componentes criptográficos Creación, almacenamiento y uso certificados Raíz y Subordinados Procedimiento Auditoría Política de Certificación AR Declaración de Prácticas de Autoridad de Sellado de Tiempo DPC TSA Política de Privacidad Documentación técnica PKIX Análisis de riesgos Inventario de equipamiento y ciclo de vida útil

16 1.2.3 Identificadores OID En conformidad con los estándares de certificación electrónica, ANF Autoridad de Certificación utiliza Identificadores de Objetos (OID) definidos en el estándar ITU-T Rec. X.660 (2004) ISO/IEC :2005 Procedures for the Operation of OSI Registration Authorities: General Procedures and ASN.1 Object Identifier tree top arcs. ANF AC tiene registrado en IANA el número como OID de empresa privada ( El significado de los OID con el arco es el siguiente: Iso (1) Org (3) Dod (6) Internet (1) Private (4) Enterprise (1) ANF Autoridad de Certificación (18332) Declaración de Prácticas de Certificación ( ) Especificaciones Nombre del documento Declaración de Prácticas de Certificación de ANF AC Versión 13.1 Estado de la política APROBADO Referencia del documento / OID Fecha de publicación 31 de julio de 2013 Fecha de expiración Localización No es aplicable Este documento no trata los aspectos particulares de las diferentes prácticas que ANF AC implementa para la prestación de servicios de certificación electrónica. Las condiciones de uso, limitaciones, responsabilidades, propiedades y cualquier otra información que se considere específica de cada tipo de certificado, viene reflejada en cada una de las Políticas de Certificación a las que se somete su respectiva emisión. La publicación de un nuevo documento conlleva la derogación del anterior. La versión X.Y especifica el número de versión, que secuencialmente identifica las diferentes versiones que han sido publicadas.

17 1.3 Comunidad Entidades y personas que intervienen Entidad de Certificación - Prestador de Servicios de Certificación - Junta Rectora de la PKI Autoridad de Certificación - Autoridad de Certificación Raíz - Autoridades de Certificación Intermedias Responsables de Dictámenes de Emisión Responsables de Emisión de Certificados Autoridad de Validación Autoridad de Sellado de Tiempo Entidades finales - Solicitantes - Responsables de los certificados - Suscriptores - Terceros de confianza Entidad de Certificación Prestador de Servicios de Certificación ANF Autoridad de Certificación (ANF AC), con domicilio social en Gran Vía de les Corts Catalanes, 996 plantas 3ª y 4ª de Barcelona España- NIF G , es el Prestador de Servicios de Certificación que expide los certificados públicos a los que aplica esta Declaración de Prácticas de Certificación, y emite certificados reconocidos conforme a lo establecido en la vigente Ley 59/2003, de 19 de diciembre de 2003, de Firma Electrónica Junta Rectora de la PKI La Junta Rectora de la PKI de ANF AC es el órgano que gestiona de forma ejecutiva la PKI, y es la responsable de la aprobación de la presente Declaración de Prácticas de Certificación, así como de los posibles cambios en la misma Autoridad de Certificación La PKI de ANF AC está compuesta por diversas Autoridades de Certificación. Las Autoridades de Certificación que componen la PKI de ANF AC son:

18 Autoridades de Certificación Raíz Es la entidad raíz cuyo certificado de clave pública ha sido autofirmado. Expide certificados de Autoridades de Certificación Intermedias. ANF Autoridad de Certificación cuenta con las Autoridades de Certificación Raíz que seguidamente se detallan: El Certificado Raíz CN = ANF Global Root CA con número de serie: 01 3f 2f f que caduca el 5 de Junio Los datos de identificación de este Certificado Raíz son: Número de Serie Sujeto Nombre Alternativo del Sujeto 01 3f 2f f CN = ANF Global Root CA SERIALNUMBER = G E = info@anf.es OU = ANF Clase 1 CA O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES Nombre DNS = Nombre RFC822 = info@anf.es Dirección del directorio: OU = Inscrita en el Ministerio del Interior de España con el numero nacional SERIALNUMBER = G O = ANF Autoridad de Certificacion L = Barcelona STREET = Gran Via de les Corts Catalanes Periodo de vigencia Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (4096 Bits) Sha1RSA 5b b d1 1b a dd db 1d 52 f4 3a d4

19 Con algoritmo SHA-256: Número de Serie Sujeto Nombre Alternativo del Sujeto 01 3f 2f e6 CN = ANF Global Root CA SERIALNUMBER = G E = info@anf.es OU = ANF Clase 1 CA O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES Nombre DNS = Nombre RFC822 = info@anf.es Dirección del directorio: OU=Inscrita en el Ministerio del Interior de España con el numero nacional SERIALNUMBER=G O=ANF Autoridad de Certificacion L=Barcelona STREET=Gran Via de les Corts Catalanes Periodo de vigencia Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (4096 Bits) Sha256RSA 26 ca ff 09 a7 af ba e cf ff 82 1a d aa El Certificado Raíz CN = ANF Server CA con número de serie b que caduca el 1 de diciembre Los datos de identificación de este Certificado Raíz son: Número de Serie Sujeto b CN = ANF Server CA SERIALNUMBER = G OU = ANF Clase 1 CA O = ANF Autoridad de Certificación L = Barcelona (see current address at S = Barcelona C = ES

20 Nombre Alternativo del Sujeto Nombre RFC822 = info@anf.es Periodo de vigencia Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (2048 Bits) Sha1RSA ce a9 89 0d 85 d a c da d7 8c b5 66 d7 0c f2 Este certificado fue emitido para sustituir al Certificado Raíz CN = ANF Server CA con número de serie: 29 que caduca el 03 de abril de Fue emitido sin renovación de claves. Ambos Certificados Raíz son válidos hasta su fecha de caducidad. Hay que destacar que ambos certificados utilizan la misma clave privada, la misma clave pública y el mismo nombre de CA. Este modelo de certificación con claves compartidas recibe el nombre de Certificación Cruzada * 1. El Certificado Raíz CN = ANF Server CA con número de serie 29 que caducaba el 3 de abril de Este certificado sustituyó, con renovación de claves, al certificado raíz que caducó el 1 de febrero S e recomienda utilizar los certificados de las jerarquías con caducidad 2021 o la jerarquía con caducidad Siempre que sea posible, se abandonará progresivamente, y de forma amigable con las instituciones que lo tienen homologado, el uso de esta jerarquía con caducidad Los datos de identificación de este Certificado Raíz son: Número de Serie 29 Sujeto CN = ANF Server CA SERIALNUMBER = G OU = ANF Clase 1 CA O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES Periodo de vigencia Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (2048 Bits) Sha1RSA b5 f8 84 ad eb 80 d6 9b 20 3e e f 47 fa

21 Gracias a la certificación cruzada, los certificados de usuarios finales emitidos hasta la fecha pueden validarse tanto con la jerarquía basada en la CA que caduca en 2015 como con la jerarquía basada en la CA que caduca en *1 La Certificación Cruzada es un mecanismo que permite crear caminos de certificación múltiples. En este caso sirve para que un mismo certificado se pueda validar indistintamente en dos jerarquías de certificación que acaban en CA Raíces distintas. (Ver RFC4949: Internet Security Glossary, Version 2 : cross-certification). El Certificado Raíz CN = ANF Root CA con número de serie: 05 con caducidad el 26 de febrero Los datos de identificación de este Certificado Raíz son: Número de Serie 05 Sujeto CN = ANF Root CA SERIALNUMBER = G OU = ANF Public Primary Certification Authority O = ANF Autoridad de Certificación L = Barcelona (see current address at ) S = Barcelona C = ES Periodo de vigencia Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (2048 Bits) sha512rsa d6 06 de eb f5 f0 8c de d2 a9 5e d6 90 8a b5 El Certificado Raíz CN = ANF Server CA con número de serie: 01 que caducó el 1 de febrero de Este certificado fue sustituido por un nuevo Certificado Raíz con fecha de caducidad 2015, con renovación de claves. Los datos de identificación de este Certificado Raíz son: Número de Serie 01 Sujeto CN = ANF Server CA SERIALNUMBER = G OU = ANF Clase 1 CA O = ANF Autoridad de Certificación L = Barcelona (see current address at ) S = Barcelona C = ES

22 Nombre Alternativo del Sujeto Nombre RFC822 = ac@anf.es Periodo de vigencia Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (2048 Bits) Sha1RSA a e9 3c f e2 5d cf 8d c0 c6 90 9d b Autoridades de Certificación Intermedias Son las entidades que dentro de la jerarquía de certificación emiten certificados de entidad final, y cuyo certificado de clave pública ha sido firmado electrónicamente por la Autoridad de Certificación Raíz. ANF Global Root CA, con fecha de caducidad 2033, cuenta en la actualidad con las siguientes Autoridades de Certificación Intermedias: ANF Assured ID CA1 Con algoritmo SHA-1: Número de Serie Emisor Sujeto c d1 bc CN = ANF Global Root CA SERIALNUMBER = G E = info@anf.es OU = ANF Clase 1 CA O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES CN = ANF Assured ID CA1 SERIALNUMBER = G E = info@anf.es OU = ANF Autoridad Intermedia de Identidad O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES

23 Nombre Alternativo del Sujeto Periodo de vigencia Nombre DNS = Nombre RFC822 = info@anf.es Dirección del directorio: OU = Inscrita en el Ministerio del Interior de España con el numero nacional SERIALNUMBER = G O = ANF Autoridad de Certificacion L = Barcelona STREET = Gran Via de les Corts Catalanes Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (4096 Bits) Sha1RSA d6 58 ce fd 81 ae c a3 42 de 11 2e 8b Con algoritmo SHA-256: Número de Serie Emisor Sujeto c d2 c9 CN = ANF Global Root CA SERIALNUMBER = G E = info@anf.es OU = ANF Clase 1 CA O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES CN = ANF Assured ID CA1 SERIALNUMBER = G E = info@anf.es OU = ANF Autoridad Intermedia de Identidad O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES

24 Nombre Alternativo del Sujeto Nombre DNS= Nombre Dirección del directorio: OU=Inscrita en el Ministerio del Interior de España con el numero nacional SERIALNUMBER=G O=ANF Autoridad de Certificacion L=Barcelona STREET=Gran Via de les Corts Catalanes Periodo de vigencia Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (4096 Bits) Sha256RSA c e6 30 0a e0 ba a 6a ad f 01 3a La Autoridad de Certificación Intermedia ANF Assured ID CA1 emite certificados electrónicos de entidad final de identidad conforme a lo establecido en la Ley 59/2003, de 19 de diciembre de ANF High Assurance AP CA1 Con algoritmo SHA-1: Número de Serie Emisor Sujeto a CN = ANF Global Root CA SERIALNUMBER = G E = info@anf.es OU = ANF Clase 1 CA O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES CN = ANF High Assurance AP CA1 SERIALNUMBER = G E = info@anf.es OU = ANF Autoridad Intermedia de AP O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES

25 Nombre Alternativo del Sujeto Nombre DNS= Nombre Dirección del directorio: OU=Inscrita en el Ministerio del Interior de España con el numero nacional SERIALNUMBER=G O=ANF Autoridad de Certificacion L=Barcelona STREET=Gran Via de les Corts Catalanes Periodo de vigencia Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (4096 Bits) Sha1RSA e9 cd c2 dd 9a c d ef da d0 Con algoritmo SHA-256: Número de serie Emisor Sujeto c d0 CN = ANF Global Root CA SERIALNUMBER = G E = info@anf.es OU = ANF Clase 1 CA O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES CN = ANF High Assurance AP CA1 SERIALNUMBER = G E = info@anf.es OU = ANF Autoridad Intermedia de AP O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES

26 Nombre Alternativo del Sujeto Periodo de vigencia Nombre DNS= Nombre Dirección del directorio: OU=Inscrita en el Ministerio del Interior de España con el numero nacional SERIALNUMBER=G O=ANF Autoridad de Certificacion L=Barcelona STREET=Gran Via de les Corts Catalanes Válido desde el hasta el Clave Pública Algoritmo de firma RSA (4096 Bits) Sha256RSA Huella digital ea 7f c6 a4 93 d3 fd bb 99 cf f7 d ab 73 La Autoridad de Certificación Intermedia ANF High Assurance AP CA1 emite certificados electrónicos de entidad final para Administraciones Públicas. ANF High Assurance EV CA1 Con algoritmo SHA-1: Número de Serie Emisor Sujeto e 6b CN = ANF Global Root CA SERIALNUMBER = G E = info@anf.es OU = ANF Clase 1 CA O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES CN = ANF High Assurance EV CA1 SERIALNUMBER = G E = info@anf.es OU = ANF Autoridad Intermedia Tecnicos O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES

27 Nombre Alternativo del Sujeto Periodo de vigencia Nombre DNS= Nombre Dirección del directorio: OU=Inscrita en el Ministerio del Interior de España con el numero nacional SERIALNUMBER=G O=ANF Autoridad de Certificacion L=Barcelona STREET=Gran Via de les Corts Catalanes Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (4096 Bits) Sha1RSA b6 80 2f ad b3 e6 f9 fc c6 af 35 0a f9 b7 a4 bf Con algoritmo SHA-256: Número de Serie Emisor Sujeto f 4e CN = ANF Global Root CA SERIALNUMBER = G E = info@anf.es OU = ANF Clase 1 CA O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES CN = ANF High Assurance EV CA1 SERIALNUMBER = G E = info@anf.es OU = ANF Autoridad Intermedia Tecnicos O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES

28 Nombre Alternativo del Sujeto Periodo de vigencia Nombre DNS= Nombre Dirección del directorio: OU=Inscrita en el Ministerio del Interior de España con el numero nacional SERIALNUMBER=G O=ANF Autoridad de Certificacion L=Barcelona STREET=Gran Via de les Corts Catalanes Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (4096 Bits) Sha256RSA d8 bf 9f fc 6c a b 1d ec 03 La Autoridad de Certificación Intermedia ANF High Assurance EV CA1 emite certificados electrónicos técnicos para servicios de autenticación SSL, SSL EV, Cifrado y Firma de Código. ANF Global CA1 Con algoritmo SHA-1: Número de Serie Emisor Sujeto f 88 d6 CN = ANF Global Root CA SERIALNUMBER = G E = info@anf.es OU = ANF Clase 1 CA O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES CN = ANF Global CA1 SERIALNUMBER = G E = info@anf.es OU = ANF Autoridad Intermedia PKI O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES

29 Nombre Alternativo del Sujeto Nombre DNS= Nombre Dirección del directorio: OU=Inscrita en el Ministerio del Interior de España con el numero nacional SERIALNUMBER=G O=ANF Autoridad de Certificacion L=Barcelona STREET=Gran Via de les Corts Catalanes Periodo de vigencia Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (4096 Bits) Sha1RSA f f3 df 4e af c da e Con algoritmo SHA-256: Número de Serie Emisor Sujeto Nombre Alternativo del Sujeto f 8a 1e CN = ANF Global Root CA SERIALNUMBER = G E = info@anf.es OU = ANF Clase 1 CA O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES CN = ANF Global CA1 SERIALNUMBER = G E = info@anf.es OU = ANF Autoridad Intermedia PKI O = ANF Autoridad de Certificacion L = Barcelona (see current address at ) S = Barcelona C = ES Nombre DNS= Nombre RFC822=info@anf.es Dirección del directorio: OU=Inscrita en el Ministerio del Interior de España con el numero nacional

30 SERIALNUMBER=G O=ANF Autoridad de Certificacion L=Barcelona STREET=Gran Via de les Corts Catalanes Periodo de vigencia Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (4096 Bits) Sha256RSA ac cf a4 0d 75 f0 81 6b b0 ba b6 b9 19 eb ef e9 1f f3 La Autoridad de Certificación Intermedia ANF Global CA1 emite certificados electrónicos para la gestión y administración de la PKI de ANF AC. ANF Server CA con fecha de caducidad 2021 cuenta en la actualidad con las siguientes Autoridades de Certificación Intermedias: ANF EC 1 Número de Serie Emisor Sujeto Periodo de vigencia Clave Pública Algoritmo de firma Huella digital 01 6a d0 CN = ANF Server CA OU = ANF Clase 1 CA O = ANF Autoridad de Certificación C = ES CN = ANF EC 1 OU = ANF Autoridad Intermedia O = ANF AC C = EC Válido desde el lunes, 20 de diciembre de :43:21 hasta el sábado, 27 de noviembre de :43:21 RSA (2048 Bits) Sha1RSA 8d eb ff fb c6 2b e2 e4 46 7b b d d6 b1 bd La Autoridad de Certificación Intermedia ANF EC 1 emite certificados electrónicos de entidad final para Ecuador.

31 ANF Clase SubCA1 Número de Serie Emisor Sujeto 01 6a d0 CN = ANF Server CA OU = ANF Clase 1 CA O = ANF Autoridad de Certificación C = ES CN = ANF Clase SubCA1 OU = CA Intermedia ID SO O = ANF Autoridad de Certificacion C = ES Periodo de vigencia Válido desde el hasta el Nombre Alternativo del Sujeto Clave Pública Algoritmo de firma Huella digital Nombre DNS = RSA (2048 Bits) Sha1RSA ad 83 8c d6 22 7e df 9c 6c cd 8e f8 2e 47 5a f4 57 2c 8f 6c La Autoridad de Certificación Intermedia ANF Clase SubCA1 emite certificados electrónicos de entidad final. ANF SSL Sede CA1 Número de Serie 03 8b 14 Emisor Sujeto Nombre Alternativo del Sujeto CN = ANF Server CA OU = ANF Clase 1 CA O = ANF Autoridad de Certificación C = ES CN = ANF SSL Sede CA1 OU = CA Intermedia SSL Sede O = ANF Autoridad de Certificacion C = ES Nombre DNS = Periodo de vigencia Válido desde el hasta el Clave Pública Algoritmo de firma Huella digital RSA (2048 Bits) Sha1RSA 87 c1 72 4a 25 d d1 a1 3b 09 e8 6b 05 de 80 bb 00