Septiembre 2017 Versión 1.2

Transcripción

1 POLITICA DE CERTIFICADO SERVIDOR SEGURO (SSL) Septiembre 2017 Versión 1.2 IZENPE Este documento es propiedad de IZENPE, únicamente puede ser reproducido en su totalidad.

2 ÍNDICE 1 INTRODUCCIÓN DESCRIPCIÓN DE LOS CERTIFICADOS IDENTIFICACIÓN COMUNIDAD Y ÁMBITO DE USO DISPOSICIONES GENERALES REQUISITOS OPERATIVOS LISTADO DE DOCUMENTACIÓN REQUERIDA PROCEDIMIENTO DE SOLICITUD EMISIÓN Y ENTREGA DEL CERTIFICADO IMPORTE VERIFICACIÓN DEL CERTIFICADO REVOCACIÓN DE CERTIFICADOS RENOVACIÓN DEL CERTIFICADO AUDITORIAS E INCIDENTES GESTIÓN DEL CAMBIO CONTROL DE CAMBIOS DE LA VERSIÓN 0 A LA Requerimientos adicionales Requerimientos actualizados Aclaraciones Editorial Requerimientos eliminados DE LA VERSIÓN 1.0 A LA Requerimientos actualizados Requerimientos eliminados DE LA VERSIÓN 1.1 A LA Requerimientos actualizados Junio / 12 Versión 1.0

3 1 INTRODUCCIÓN El presente documento recoge la Documentación específica (o política de certificación) correspondiente a los certificados emitidos por Ziurtapen eta Zerbitzu Enpresa - Empresa de Certificación y Servicios, Izenpe, S.A. (en adelante, Izenpe) para sitios web en sus diferentes variantes. Su finalidad es detallar y completar para este tipo de certificados lo definido de forma genérica en la Declaración de Prácticas de Certificación de Izenpe, en los documentos específicos del CA/Browser Forum (Baseline Requirements y EV guidelines para la emisión de certificados para sitios web) y en las especificaciones de ETSI ( Así, Izenpe sigue las siguientes políticas de certificación establecidas por ETSI: DVCP (Domain Validation Certificates Policy): en los certificados SSL DV OVCP (Organizational Validation Certificates Policy): en los certificados SSL OV y Sede EVCP (Extended Validation Certificates Policy): en los certificados Sede EV y SSL EV En el ámbito del proyecto de Google Certificate Transparency, los certificados SSL EV y Sede EV emitidos se publicarán en el servicio CT Log de Izenpe y de otros proveedores de log servers con los cuales Izenpe tiene un acuerdo con el fin de cumplir los requisitos de Google. 1.1 Descripción de los certificados Izenpe emite estos certificados con la finalidad de permitir a sus suscriptores ofrecer una seguridad adicional en sus servicios web. Respecto al tipo de certificado Izenpe emite, SSL SSL DV SSL OV SSL EV SEDE ELECTRÓNICA Sede Sede EV Este tipo de certificado tiene como finalidad establecer comunicaciones de datos en servidores web vía SSL/TLS. Permiten la encriptación de las comunicaciones entre el usuario y el sitio web, facilitando el intercambio de las claves de cifrado necesarias para el cifrado de la información a través de Internet. CERTIFICADOS DEL TIPO SSL, Según la validación realizada el certificado podrá ser, SSL DOMAIN VALIDATED (SSL DV), Este certificado, con la consideración de no cualificado, será utilizado para la identificación de la titularidad del dominio que alberga el sitio web, proporcionando una garantía razonable al usuario de un navegador de Internet La validez de estos certificados puede ser de 1, 2 o 3 años. Junio / 12 Versión 1.0

4 SSL ORGANIZATION VALIDATED (SSL OV), Este certificado, con la consideración de no cualificado, será utilizado para la identificación de la titularidad del dominio y acreditación de la organización, proporcionando una garantía razonable al usuario de un navegador de Internet de que el sitio web al que accede es titularidad de la organización identificada en el certificado. La validez de estos certificados puede ser de 1, 2 o 3 años. SSL CON VALIDACIÓN EXTENDIDA (SSL EV), Este certificado, con la consideración de no cualificado, será utilizado para la identificación de la titularidad del dominio y acreditación de la organización, proporcionando una garantía robusta al usuario de un navegador de Internet de que el sitio web al que accede es titularidad de la organización identificada en el certificado. La validez de estos certificados puede ser de 1 o 2 años. CERTIFICADOS DEL TIPO SEDE ELECTRÓNICA En el ámbito de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, Izenpe emite certificados del tipo, SEDE ELECTRÓNICA, Se trata de un certificado con la consideración de no cualificado en el que se identifica a la Administración Pública, órgano o entidad administrativa titular de la sede. Según los niveles de aseguramiento definidos en el Esquema de identificación y firma electrónica, el certificado de Sede electrónica emitido por Izenpe es de nivel medio. La validez de estos certificados es de 3 años. SEDE ELECTRÓNICA CON VALIDACIÓN EXTENDIDA EV (Sede EV), Además de las características definidas en el certificado de Sede Electrónica la validación extendida (EV) tiene como objetivo proporcionar un mejor nivel de autenticación de la Administración Pública, órgano o entidad administrativa debido a una validación más exhaustiva. Según los niveles de aseguramiento definidos en el Esquema de identificación y firma electrónica, el certificado de Sede electrónica emitido por Izenpe es de nivel medio. La validez de estos certificados es de 2 años. Junio / 12 Versión 1.0

5 1.2 Identificación Con el objeto de identificar los certificados, Izenpe les ha asignado los siguientes identificadores de objeto (OID). CERTIFICADO OID SSL DV SSL OV SSL EV Sede electrónica Sede electrónica EV Comunidad y ámbito de uso Tendrán la consideración de usuarios, Solicitante del certificado, persona que solicita el certificado en nombre de la organización. Suscriptor de certificado, organización identificada en el certificado. Ámbito de uso. Los certificados serán utilizados en el ámbito de las competencias propias de la organización, Administración Pública, órgano o entidad administrativa titular del certificado. 1.4 Disposiciones generales Obligaciones de identificación Izenpe comprueba, por si misma o por medio de aquellas entidades con las que suscriba el correspondiente instrumento legal, la identidad y cualesquiera otras circunstancias personales de los solicitantes y suscriptores de los certificados. El instrumento legal existente entre las partes incluirá la exigencia de cumplimiento de lo indicado en los documentos del CA/Browser Forum. Obligaciones del suscriptor del certificado Son obligaciones del suscriptor las recogidas en la Declaración de Prácticas de Certificación, apartado relativo a Obligaciones del Suscriptor. Junio / 12 Versión 1.0

6 2 REQUISITOS OPERATIVOS 2.1 Listado de documentación requerida Solicitud de emisión debidamente cumplimentada y firmada con: o o Firma manuscrita Firma electrónica: con un certificado reconocido de Izenpe o DNI que identifique al solicitante El solicitante aceptará así las Condiciones de Uso y el Contrato de Suscriptor que resulten de aplicación en la fecha de firma de la Solicitud, publicados en NIF de la organización. Acreditación de la identidad y vigencia de la entidad solicitante (ver apartado 2.2 Procedimiento de Solicitud) Acreditación de la competencia del Solicitante para usar el nombre de la entidad (ver apartado 2.2 Procedimiento de Solicitud) 2.2 Procedimiento de Solicitud El SOLICITANTE remitirá la Solicitud de emisión y la documentación requerida a, o La dirección IZENPE, S.A., C/ BEATO TOMAS DE ZUMARRAGA 71-1ª PLANTA VITORIA-GASTEIZ. o o Por vía telemática a la dirección de correo electrónico certservidor@izenpe.net. O bien a través de la aplicación dispuesta para ello en la web de Izenpe. Con la firma de la Solicitud de Emisión, el solicitante acepta las Condiciones de Uso y el Contrato de Suscriptor. Validación de la documentación, SSL DV SSL OV SSL EV Sede Sede EV Comprobación de la titularidad del dominio: Se podrá realizar de cualquiera de las siguientes formas: a) Documento de autorización de uso del dominio: emitido por la entidad registradora del dominio b) Cambio acordado en sitio web: publicación en la ruta <dominio>/.well known/pkivalidation de un fichero con un challenge enviado por Izenpe c) TLS usando un número aleatorio: confirmar la presencia de un fichero generado por Izenpe en un certificado publicado en el dominio solicitado que sea accesible por Izenpe usando TLS d) al contacto del Registrant obtenido a través de consulta whois, incluyendo un valor aleatorio Previa a la emisión de todo certificado SSL, se comprueba la existencia de registro CAA para cada nombre DNS de la extensión subjectaltname del certificado, según especificaciones de la RFC En el caso de que se emita el certificado, ésta se hará antes del TTL del registro CAA, y en cualquier caso no superior a 8 horas. Izenpe procesa los tags "issue" e "issuewild", aunque puede que no genere informes de peticiones de emisión a la lista de contactos identificados en la etiqueta "iodef". Los registros CAA que identifican a dominios de Izenpe son "izenpe.com" e "izenpe.eus", y Junio / 12 Versión 1.0

7 cualquier dominio que contenga los anteriores como sufijo (ej: *.izenpe.com). En el caso de certificados SSL DV, SSL OV y Sede se permitirán los wildcard en subdominios o nombres de host, siempre que la entidad solicitante pueda demostrar su legítimo control del dominio completo. En caso contrario se rechazará la solicitud. Por ejemplo, no se pueden emitir *.co.uk o *.local, pero si *.ejemplo.com a la empresa Ejemplo S.A.. SSL OV SSL EV Sede Sede EV Comprobación de whois. El titular (registrant) deberá coincidir con la organización solicitante. En caso contrario, el solicitante deberá acreditar el derecho de uso por parte del suscriptor. Comprobación de que el solicitante tiene el derecho de uso del dominio o subdominio: Dominios.es: Dominios.eu: Dominio.eus: whois.nic.eus Resto dominios: whois.icann.org Verificación de la identidad y vigencia de la entidad solicitante en: Entidad pública: Nombre*: Boletín Oficial, certificado del secretario o Registro Mercantil CIF*: AGPD, Boletín Oficial o Registro Mercantil Entidad privada: Nombre*: certificación original del registro correspondiente o nota simple informativa CIF*: AGPD, certificación original del registro correspondiente o nota simple informativa Comprobación de la competencia del Solicitante para usar el nombre de la entidad en: Entidad pública*: Certificación expedida por el Secretario/Letrado, nota simple informativa o referencia en Boletín Oficial en los 13 meses anteriores a la solicitud de emisión Entidad privada*: certificación original del registro correspondiente o nota simple informativa * No requerido en caso de certificado vigente del tipo corporativo reconocido, entidad o sello emitido por Izenpe al solicitante, siempre que el certificado haya sido emitido en los últimos 39 meses (13 meses en el caso de EVs). Comprobación por de que el solicitante tiene conocimiento de la tramitación del certificado. Verificación de la dirección postal en: Agencias de Protección de Datos. Páginas de operadores telefónicos. Eudel para municipios de Euskadi. Registro Mercantil En el caso de discrepancia entre la documentación aportada y la comprobada, Izenpe verificará que la dirección que consta en la Solicitud corresponde a una ubicación en la que la Organización solicitante opera de manera estable. Verificación del país: o AGPD, Eudel, páginas amarillas o Registro Mercantil Junio / 12 Versión 1.0

8 Comprobación de lista de denegados en bases de datos interna de Izenpe. Comprobación de peticiones de alto riesgo en Mcafee TrustedSource SSL EV Sede EV Comprobación de pertenencia del número de teléfono fijo (no móvil) a la entidad solicitante. Fuentes de comprobación: Páginas de operadores telefónicos, Agencias de Protección de Datos o Eudel, para municipios de Euskadi. Comprobación posterior mediante llamada. Comprobación de la existencia operativa. Las entidades privadas deberán acreditar que realizan movimientos bancarios con una institución financiera regulada. Firma dual de comprobación de la documentación por, La Asesoría Jurídica y el Área Técnica Validación de las comprobaciones realizadas por el Responsable del Área Técnica. NOTA. Izenpe podrá realizar comprobaciones adicionales como pueden ser: confirmación de petición por la organización o autorización al solicitante para tramitar el certificado en nombre de la organización y la revisión anual de su cumplimiento mediante auditoría externa. En los casos en los que no se pueda realizar la validación según lo determinado, se justificará en el documento de comprobación de la documentación. Una vez comprobada la documentación, Izenpe dejará constancia de las comprobaciones realizadas a través del documento de comprobación de la documentación. Únicamente en los certificados EV, la validación es dual. No será necesario realizar las comprobaciones anteriores, si la información ya ha sido validada en el plazo máximo de 13 meses para los EVs, y 39 meses el resto. Izenpe NO contempla emisiones a direcciones IP (ej: ) 2.3 Emisión y entrega del certificado Izenpe se pondrá en contacto con el Responsable Técnico indicado en la Solicitud de Emisión para que genere la petición técnica y la remita a Izenpe por . En el caso de utilizar la aplicación de solicitud de Izenpe será el Responsable Técnico el encargado de introducir la petición técnica. Izenpe enviará el certificado al Responsable Técnico vía o a través de la aplicación. El solicitante deberá devolver firmada a Izenpe la Hoja de Entrega y Aceptación 2.4 Importe Emitido el certificado, se abonará el importe según la tarifa aplicable. Anualmente Izenpe publica en su web las tarifas aplicables e igualmente en la aplicación dispuesta a tal efecto Junio / 12 Versión 1.0

9 2.5 Verificación del certificado El Solicitante dispondrá de 15 días hábiles desde la emisión del certificado para verificar su correcto funcionamiento y, en caso de que fuera necesario comunicar a Izenpe los defectos de funcionamiento. Únicamente si los defectos de funcionamiento se debieran a causas técnicas a errores en los datos contenidos en el certificado aplicables a Izenpe, Izenpe revocará el certificado y procederá a emitir uno nuevo asumiendo los costes derivados. 2.6 Revocación de certificados Solicitud de revocación Podrán solicitar la revocación del certificado, - El suscriptor. Se entiende que están autorizados para solicitar la revocación del certificado: el Representante Legal de la entidad suscriptora, el Responsable de Personal o tercero autorizado por cualquiera de los anteriores. - El solicitante. - Izenpe está autorizados para solicitar la revocación de certificados de suscriptor de entidad final, en los casos de causa técnica contemplados en la DPC. Procedimiento El solicitante de la revocación tramitará ante Izenpe la Solicitud de Revocación. El certificado se podrá revocar en cualquier momento. El solicitante podrá revocar el certificado a través de los siguientes canales, - Presencialmente ante, o Izenpe solicitando cita previa a través de o O ante la organización suscriptora con la que Izenpe haya suscrito el instrumento legal pertinente. - Telefónicamente, llamando al número de teléfono Se requerirá para la identificación: o DNI solicitante o DNI contacto técnico o solicitante o Nombre completo del sitio (FQDN) - Online, en la dirección - O vía postal, remitiendo solicitud de revocación del certificado firmada y legitimada en presencia notarial. Causas de revocación Pueden consultarse en la Declaración de Prácticas de Certificación Además, en el caso de los certificados regulados en esta documentación específica Izenpe, 1. Presentará al suscriptor, a terceras partes y a los navegadores de Internet, instrucciones claras para la presentación de denuncias o sospechas de compromiso de la clave privada, de mal uso de certificados o de otros tipos de fraude, compromiso, mal uso, o conducta impropia en relación con los certificados. Junio / 12 Versión 1.0

10 2. Investigará los informes de problemas dentro de las veinticuatro horas siguientes a su recepción y decidirá sobre la revocación, atendiendo a los siguientes criterios: - La naturaleza del supuesto problema; - El número de informes recibidos de problemas de un certificado o página web. - La identidad de los denunciantes. - La legislación vigente. 2.7 Renovación del certificado Para renovar un certificado, el solicitante deberá seguir el proceso de emisión de certificados establecido, teniendo en cuenta que las comprobaciones son válidas durante 13 meses para los EVs, y 39 meses el resto. 2.8 Auditorias e incidentes Criterios referentes a auditorías y análisis de incidentes, Vías a través de las cuales presentar quejas o sugerencias, - Telefónica: Mail: info@izenpe.com - Cumplimentación del formulario de quejas y sugerencias disponible en la dirección - Cumplimentación de los formularios de quejas o reclamaciones disponibles en los puestos de registro. Registro interno de incidentes producidos. Los incidentes de seguridad son gestionados por el Comité de Seguridad de Izenpe. La planificación anual de auditorías se realiza según los criterios establecidos por ETSI. Izenpe reporta aquellos casos que considere como incidentes (casos de fraude, phising, etc.) en el sitio web del Anti-PhisingWorkGroup ( y verifica de forma previa a la emisión que el solicitante o representantes no constan en la base de datos interna de incidentes de seguridad de Izenpe. En todo caso se reserva el derecho de emitir certificados ante situaciones sospechosas. Junio / 12 Versión 1.0

11 3 GESTIÓN DEL CAMBIO Las modificaciones de este documento serán aprobadas por del Comité de Seguridad de Izenpe. Estas modificaciones estarán recogidas en un documento de Actualización de Documentación Específica cuyo mantenimiento está garantizado por Izenpe. Las versiones actualizadas de la documentación específica podrán ser consultadas en la dirección Junio / 12 Versión 1.0

12 4 CONTROL DE CAMBIOS 4.1 De la versión 0 a la 1.0 Requerimientos adicionales Añadido requisitos en apartado 2.2 Requerimientos actualizados Actualizados requisitos en apartados 2.1 y 2.2 Aclaraciones Actualizados requisitos en apartado 2.2 Editorial Añadido índice. Añadido pie de página Requerimientos eliminados Eliminados requisitos en apartados 2.1 y 2.2 Eliminado año en portada 4.2 De la versión 1.0 a la 1.1 Requerimientos actualizados Actualizados requisitos en validación del dominio, en el apartado 2.2 Requerimientos eliminados Eliminadas gráficas en apartados 2.3 y De la versión 1.1 a la 1.2 Requerimientos actualizados Actualizados requisitos en validación CAA, en el apartado 2.2 Junio / 12 Versión 1.0