Febrero 2018 Versión 1.3

Febrero 2018

Versión 1.3

 IZENPE

Este documento es propiedad de IZENPE, únicamente puede ser reproducido en su totalidad.

POLITICA DE CERTIFICADO

2 / 16 Versión 1.3

ÍNDICE

1 INTRODUCCIÓN ... 3

1.1 DESCRIPCIÓN DE LOS CERTIFICADOS ... 3

1.2 IDENTIFICACIÓN ... 5

1.3 COMUNIDAD Y ÁMBITO DE USO ... 5

1.4 DISPOSICIONES GENERALES ... 5

2 REQUISITOSOPERATIVOS ... 6

2.1 LISTADO DE DOCUMENTACIÓN REQUERIDA ... 6

2.2 PROCEDIMIENTO DE SOLICITUD ... 6

2.3 EMISIÓN Y ENTREGA DEL CERTIFICADO ... 9

2.4 IMPORTE ... 9

2.5 VERIFICACIÓN DEL CERTIFICADO ... 9

2.6 REVOCACIÓN DE CERTIFICADOS ... 9

2.7 RENOVACIÓN DEL CERTIFICADO ... 11

2.8 AUDITORIAS E INCIDENTES ... 11

3 GESTIÓNDELCAMBIO ... 13

4 CONTROLDECAMBIOS ... 14

4.1 DE LA VERSIÓN 0 A LA 1.0 ... 14

4.2 DE LA VERSIÓN 1.0 A LA 1.1 ... 14

4.3 DE LA VERSIÓN 1.1 A LA 1.2 ... 14

3 / 16 Versión 1.3

1 INTRODUCCIÓN

El presente documento recoge la política de certificación correspondiente a los certificados emitidos por Ziurtapen eta Zerbitzu Enpresa - Empresa de Certificación y Servicios, Izenpe, S.A. (en adelante, Izenpe) para sitios weben sus diferentes variantes.

Su finalidad es detallar y completar para este tipo de certificados lo definido de forma genérica en la Declaración de Prácticas de Certificación de Izenpe, en los documentos específicos del

CA/Browser Forum Baseline Requirements (en adelante BR) y EV guidelines (en adelante EVBR) para la emisión de certificados para sitios web) y en las especificaciones de ETSI (www.etsi.org).

Así, Izenpe sigue las siguientes políticas de certificación establecidas por ETSI:  DVCP (Domain Validation Certificates Policy): en los certificados “SSL DV”

 OVCP (Organizational Validation Certificates Policy): en los certificados “SSL OV” y “Sede”  EVCP (Extended Validation Certificates Policy): en los certificados “Sede EV” y “SSL EV”

En el ámbito del proyecto de Google Certificate Transparency, los certificados SSL EV y Sede EV emitidos se publicarán en el servicio CT de los proveedores de Log Servers con los cuales Izenpe mantiene un acuerdo.

1.1 Descripción de los certificados

Izenpe emite estos certificados con la finalidad de permitir a sus suscriptores ofrecer una seguridad adicional en sus servicios web.

Respecto al tipo de certificado Izenpe emite,

SSL SEDE ELECTRÓNICA

SSL DV Sede

SSL OV Sede EV

SSL EV

Este tipo de certificado tiene como finalidad establecer comunicaciones de datos en servidores web vía SSL/TLS.

Permiten el cifrado de las comunicaciones entre el usuario y el sitio web, facilitando el intercambio de las claves de cifrado necesarias para el cifrado de la información a través de Internet.

 CERTIFICADOS DEL TIPO SSL,

Según la validación realizada por Izenpe el certificado podrá ser,  SSL DOMAIN VALIDATED (SSL DV),

Este certificado, con la consideración de no cualificado, será utilizado para la identificación de la titularidad del dominio que alberga el sitio web, proporcionando una garantía razonable al usuario de un navegador de Internet

La validez de estos certificados puede ser de 1 o 2 años.  SSL ORGANIZATION VALIDATED (SSL OV),

4 / 16 Versión 1.3 Este certificado, con la consideración de no cualificado, será utilizado para la identificación de la titularidad del dominio y acreditación de la organización, proporcionando una garantía razonable al usuario de un navegador de Internet de que el sitio web al que accede es titularidad de la organización identificada en el certificado.

La validez de estos certificados puede ser de 1 o 2 años.  SSL CON VALIDACIÓN EXTENDIDA (SSL EV),

Este certificado, con la consideración de no cualificado, será utilizado para la identificación de la titularidad del dominio y acreditación de la organización, proporcionando una garantía robusta al usuario de un navegador de Internet de que el sitio web al que accede es titularidad de la organización identificada en el certificado.

La validez de estos certificados puede ser de 1 o 2 años.

 CERTIFICADOS DEL TIPO SEDE ELECTRÓNICA

En el ámbito de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, Izenpe emite certificados del tipo,

 SEDE ELECTRÓNICA,

Se trata de un certificado con la consideración de no cualificado en el que se identifica a la Administración Pública, órgano o entidad administrativa titular de la sede.

Según los niveles de aseguramiento definidos en el Esquema de identificación y firma electrónica, el certificado de Sede electrónica emitido por Izenpe es de nivel medio.

La validez de estos certificados es de 2 años.

 SEDE ELECTRÓNICA CON VALIDACIÓN EXTENDIDA EV (Sede EV),

Además de las características definidas en el certificado de Sede Electrónica la validación extendida (EV) tiene como objetivo proporcionar un mejor nivel de autenticación de la Administración Pública, órgano o entidad administrativa debido a una validación más exhaustiva.

Según los niveles de aseguramiento definidos en el Esquema de identificación y firma electrónica, el certificado de Sede electrónica emitido por Izenpe es de nivel medio.

5 / 16 Versión 1.3 1.2 Identificación

Con el objeto de identificar los certificados, Izenpe les ha asignado los siguientes identificadores de objeto (OID).

CERTIFICADO OID IZENPE OID CA/B FORUM SSL DV 1.3.6.1.4.1.14777.1.2.4 2.23.140.1.2.1 SSL OV 1.3.6.1.4.1.14777.1.2.1 2.23.140.1.2.2 SSL EV 1.3.6.1.4.1.14777.6.1.1 2.23.140.1.1 Sede electrónica 1.3.6.1.4.1.14777.1.1.3 2.23.140.1.2.2 Sede electrónica EV 1.3.6.1.4.1.14777.6.1.2 2.23.140.1.1

Los números de serie de los certificados tendrán al menos 64 bits de entropía.

1.3 Comunidad y ámbito de uso Tendrán la consideración de usuarios,

 Solicitante del certificado, persona jurídica que solicita un certificado. Una vez que el certificado se

ha emitido, pasa a denominarse suscriptor.

 Suscriptor de certificado, persona jurídica identificada en el certificado.

Ámbito de uso. Los certificados serán utilizados en el ámbito de las competencias propias de la organización titular del certificado.

1.4 Disposiciones generales Obligaciones de identificación

Izenpe comprueba, por si misma o por medio de aquellas entidades con las que suscriba el correspondiente instrumento legal, la identidad y cualesquiera otras circunstancias personales de los solicitantes y suscriptores de los certificados. En ningún caso Izenpe delega la comprobación de la titularidad o control sobre el dominio.

El instrumento legal existente entre las partes incluirá la exigencia de cumplimiento de lo indicado en los documentos del CA/Browser Forum.

Obligaciones del suscriptor del certificado

Son obligaciones del suscriptor las recogidas en la Declaración de Prácticas de Certificación y en el Acuerdo de Divulgación de Clave Pública (PDS).

6 / 16 Versión 1.3

2 REQUISITOS OPERATIVOS

2.1 Listado de documentación requerida SSL DV, SSL OV, SSL EV

Sede, Sede EV Solicitud de emisión debidamente cumplimentada y firmada (electrónica o manuscrita).

SSL OV, SSL EV Sede, Sede EV

Acreditación de la información referente a la entidad:  Denominación.  Vigencia.  Dirección postal.  País. SSL EV Sede EV Acreditación de:

 Nombre, cargo y capacidad de: la persona que autoriza la Solicitud, del Solicitante del certificado y del firmante de la Solicitud.

 Número de Identificación Fiscal.  Teléfono.

 En el caso de caso de entidades privadas: documento acreditativo de la autorización del Solicitante para solicitar el certificado.

Sede, SedeEV Referencia normativa de publicación de sede en boletín

2.2 Procedimiento de Solicitud

 El Solicitante remitirá la solicitud de emisión y la documentación requerida a,

o La dirección IZENPE, S.A., C/ BEATO TOMAS DE ZUMARRAGA 71 -1ª PLANTA – 01008 VITORIA-GASTEIZ

o Por vía telemática a la dirección de correo electrónico [email protected] o O bien a través de la aplicación dispuesta para ello en la web de Izenpe

Con la firma de la Solicitud de Emisión, el solicitante acepta las Condiciones del Acuerdo de Divulgación de Infraestructura de Clave Pública (PDS).

 Validación de la siguiente documentación,

SSL DV, SSL OV, SSL EV Sede, Sede EV

 Titularidad o derecho de uso del dominio.

Se podrá realizar de cualquiera de las siguientes formas:

a) Envío de email al contacto del dominio (registrant, técnico o administrativo) obtenido mediante consulta whois, incluyendo un valor aleatorio.

Izenpe requerirá respuesta que incluya el mismo valor aleatorio. b) Cambio acordado en sitio web.

7 / 16 Versión 1.3

Izenpe generará y enviará al contacto de dominio un token de petición en un fichero de texto y requerirá su publicación en la ruta <dominio>/.well-known/pki‐validation/

 Previa a la emisión de todo certificado SSL, validación de la existencia de registro CAA para cada nombre DNS de las extensiones CN y subjectAltName del certificado, según especificaciones de la RFC 6844.

En el caso de que se emita el certificado, la validación se realizará antes del TTL del registro CAA, y en cualquier caso no superior a 8 horas.

Izenpe procesa los tags "issue" e "issuewild", aunque puede que no genere informes de peticiones de emisión a la lista de contactos identificados en la etiqueta "iodef". Los registros CAA que identifican a dominios para los que se autoriza la emisión por parte de Izenpe son "izenpe.com" e "izenpe.eus".

 En caso de incluirse el país, se validará en:  Agencias de Protección de Datos.  Eudel para municipios de Euskadi.  Registro público correspondiente.

 Para certificados SSL DV, SSL OV y Sede se permitirán los wildcard en subdominios o nombres de host, siempre que la entidad solicitante pueda demostrar su legítimo control del dominio completo.

En caso contrario se rechazará la solicitud. Por ejemplo, no se pueden emitir *.co.uk o *.local, pero si *.ejemplo.com a la empresa Ejemplo S.A.

SSL OV, SSL EV Sede, Sede EV

 Verificación de la vigencia de la entidad y competencia del solicitante para solicitar el certificado:

 Entidad pública: Certificación expedida por el Secretario/Letrado, certificación registral / nota simple informativa o referencia del Boletín Oficial en los 13 meses anteriores a la solicitud de emisión

 Entidad privada: certificación original del Registro correspondiente o nota simple informativa.

A través de la aplicación on line de solicitud de certificados SSL de Izenpe, la entidad podrá crear los usuarios asociados a los empleados a los que permita la emisión de certificados para dicha entidad.

LA vigencia de la entidad y competencia de solicitud no será requerida en caso de certificado vigente del tipo corporativo reconocido, entidad o sello emitido por Izenpe al solicitante, siempre que el certificado haya sido emitido en los últimos 825 días (13 meses en el caso de EVs).

 Comprobación por email de que el solicitante tiene conocimiento de la tramitación del certificado.

 Verificación de la dirección postal en:  Agencias de Protección de Datos.  Eudel para municipios de Euskadi.  Registro Oficial.

En el caso de discrepancia entre la documentación aportada y la comprobada, Izenpe verificará que la dirección que consta en la Solicitud corresponde a una

8 / 16 Versión 1.3 ubicación en la que la entidad solicitante opera de manera estable.  Verificación de lista de denegados en base de datos interna de Izenpe  Comprobación de peticiones de alto riesgo en Mcafee TrustedSource

SSL EV Sede EV

 Verificación del Número de Identificación Fiscal de la identidad:

 Entidad pública: Agencias de Protección de Datos, Boletín Oficial o registro oficial correspondiente.

 Entidad privada: Agencias de Protección de Datos, certificación registral original o nota simple informativa.

 Empresa: Agencias de Protección de Datos, o Registro Mercantil

 Entidad internacional no comercial / sín ánimo de lucro : comprobación de que la entidad es una Organización Internacional reconocida

 Comprobación de la existencia operativa.

Las entidades privadas deberán acreditar que realizan movimientos bancarios con una institución financiera acreditada..

 Comprobación del número de teléfono fijo (no móvil) a la entidad solicitante. Fuentes de comprobación:

 Páginas de operadores telefónicos, Agencias de Protección de Datos o Eudel, para municipios de Euskadi.

 Comprobación posterior mediante llamada.

 Comprobación de nombre, cargo y capacidad de la persona que autoriza la Solicitud, del Solicitante del certificado y del firmante de la Solicitud.

 Firma dual de comprobación de la documentación por,  Asesoría Jurídica

 Área Técnica

NOTAS

 Izenpe siempre será el encargado de realizar las comprobaciones de titularidad o derecho de uso del dominio.

 Izenpe podrá realizar comprobaciones adicionales como pueden ser: confirmación de petición por la organización o autorización al solicitante para tramitar el certificado en nombre de la organización y la revisión anual de su cumplimiento mediante auditoría externa.

 En los casos en los que no se pueda realizar la validación según lo determinado, se justificará en el documento de comprobación de la documentación.

 Una vez comprobada la documentación, Izenpe dejará constancia de las comprobaciones realizadas a través del documento de comprobación de la documentación.

 Únicamente en los certificados EV, la validación es dual.

 No será necesario realizar las comprobaciones anteriores, si la información ya ha sido validada en el plazo máximo de 13 meses para los EVs, y 825 días el resto.

9 / 16 Versión 1.3

 Izenpe considera las siguientes fuentes fiables: o Agencias de Protección de Datos

o Eudel.

o Registro Oficial correspondiente. o Boletines Oficiales.

o Certificación expedida por el Secretario/Letrado del Ayuntamiento.

o ICANN.

o Whois correspondiente a cada ccTLD

En el caso de no aparecer en esta lista, se considerarán los siguientes criterios para considerar una fuente como fiable:

o La antigüedad de la información. o Frecuencia de actualización.

o Proveedor de los datos y propósito de la recolección de los datos. o Accesibilidad pública y disponibilidad.

o Relativa dificultad de falsificación o alteración de los datos.

2.3 Emisión y entrega del certificado

Izenpe se pondrá en contacto con el Responsable Técnico indicado en la Solicitud de Emisión para que genere la petición técnica y la remita a Izenpe por email.

En el caso de utilizar la aplicación de solicitud de Izenpe será el Responsable Técnico el encargado de introducir la petición técnica.

Izenpe enviará el certificado al Responsable Técnico vía email o a través de la aplicación. El solicitante deberá devolver firmada a Izenpe la Hoja de Entrega y Aceptación

2.4 Importe

Emitido el certificado, se abonará el importe según la tarifa aplicable.

Anualmente Izenpe publica en su web www.izenpe.com las tarifas aplicables e igualmente en la aplicación dispuesta a tal efecto

2.5 Verificación del certificado

El Solicitante dispondrá de 15 días hábiles desde la emisión del certificado para verificar su correcto funcionamiento y, en caso de que fuera necesario comunicar a Izenpe los defectos de funcionamiento. Únicamente si los defectos de funcionamiento se debieran a causas técnicas a errores en los datos contenidos en el certificado aplicables a Izenpe, Izenpe revocará el certificado y procederá a emitir uno nuevo asumiendo los costes derivados.

2.6 Revocación de certificados Solicitud de revocación

10 / 16 Versión 1.3 - El suscriptor.

Se entiende que están autorizados para solicitar la revocación del certificado: el Representante Legal de la entidad suscriptora, el Responsable de Personal o tercero autorizado por cualquiera de los anteriores.

- El solicitante.

- Izenpe está autorizados para solicitar la revocación de certificados de suscriptor de entidad final, en los casos de causa técnica contemplados en la DPC.

Procedimiento

El solicitante de la revocación tramitará ante Izenpe la Solicitud de Revocación.

El certificado se podrá revocar en cualquier momento, y se hará efectiva en un plazo máximo de 24 horas. El solicitante podrá revocar el certificado a través de los siguientes canales,

- Presencialmente ante,

o Izenpe solicitando cita previa a través de www.izenpe.com

o O ante la organización suscriptora con la que Izenpe haya suscrito el instrumento legal pertinente.

- Telefónicamente, llamando al número de teléfono 902 542 542. Se requerirá para la identificación:

o DNI solicitante o DNI contacto técnico

o Email solicitante

o Nombre completo del sitio (FQDN) - Online, en la dirección www.izenpe.com

- O vía postal, remitiendo solicitud de revocación del certificado firmada y legitimada en presencia notarial.

Causas de revocación

Pueden consultarse en la Declaración de Prácticas de Certificación www.izenpe.eus.

Además en el caso de certificados de CAs subordinadas, éstas se revocarán en un plazo máximo de 7 días por los siguientes causas:

 La subCA lo solicita por escrito

 La subCA notifica a la CA emisora que la petición de certificado original no fue autorizada y no admite una autorización retroactiva

 La CA emisora obtiene una evidencia de que la clave privada de la subCA correspondiente a la clave pública del certificado ha sufrido un compromiso de clave o ha dejado de cumplir con los requisitos de los apartados 6.1.5 y 6.1.6 de los BR

 La CA emisora obtiene una evidencia de que el certificado fue emitido de forma incorrecta  La CA emisora detecta que el certificado no fue emitido de acuerdo con la Política de Certificado

o la DPC

 La CA emisora determina que algún dato que aparece en el certificado es impreciso o incorrecto  La CA emisora o la subCA cesa sus operaciones por cualquier razón y no se ha habilitado los

11 / 16 Versión 1.3

 El derecho para emitir certificados por parte de la CA emisora o la subCA bajo los requisitos de BR finalizan o se revoca, a menos que la CA emisora haya habilitado los acuerdos para continuar manteniendo el repositorio de CRL/OCSP

 Se requiere la revocación por parte de la política de la CA emisora y/o por la DPC

 El contenido o formato técnico del certificado presenta un riesgo inaceptable para los proveedores de software or terceros

Además, en el caso de los certificados regulados en esta documentación específica Izenpe,

1. Presentará al suscriptor, a terceras partes y a los navegadores de Internet, instrucciones claras para la presentación de denuncias o sospechas de compromiso de la clave privada, de mal uso de certificados o de otros tipos de fraude, compromiso, mal uso, o conducta impropia en relación con los certificados.

2. Investigará los informes de problemas dentro de las veinticuatro horas siguientes a su recepción y decidirá sobre la revocación, atendiendo a los siguientes criterios:

- La naturaleza del supuesto problema;

- El número de informes recibidos de problemas de un certificado o página web. - La identidad de los denunciantes.

- La legislación vigente. 2.7 Renovación del certificado

Para renovar un certificado, el solicitante deberá seguir el proceso de emisión de certificados establecido, teniendo en cuenta que las comprobaciones son válidas durante 13 meses para los EVs, y 39 meses el resto.

2.8 Auditorias e incidentes

Criterios referentes a auditorías y análisis de incidentes,

 Vías a través de las cuales presentar quejas o sugerencias, - Telefónica: 902 542 542

- Mail: [email protected]

- Cumplimentación del formulario de quejas y sugerencias disponible en la dirección www.izenpe.eus

- Cumplimentación de los formularios de quejas o reclamaciones disponibles en los puestos de registro.

 Registro interno de incidentes producidos.

Los incidentes de seguridad son gestionados por el Comité de Seguridad de Izenpe. Izenpe abrirá una investigación en un plazo máximo de 24 horas desde la recepción, y se decidirán las acciones a adoptar teniendo en cuenta los criterios del apartado 4.9.5 de los BRs.

 La planificación anual de auditorías se realiza según los criterios establecidos por los BRs. Izenpe realiza además las auditorías internas definidas en el apartado 8.7 de los BRs

 Izenpe reporta aquellos casos que considere como incidentes (casos de fraude, phising, etc.) en el sitio web del Anti-PhisingWorkGroup (www.apwg.org) y verifica de forma previa a la emisión que

12 / 16 Versión 1.3 el solicitante o representantes no constan en la base de datos interna de incidentes de seguridad de Izenpe. En todo caso se reserva el derecho de emitir certificados ante situaciones sospechosas.  Las auditorías estarán basadas en ETSI EN 319 411-1

13 / 16 Versión 1.3

3 GESTIÓN DEL CAMBIO

Las modificaciones de este documento serán aprobadas por el Comité de Seguridad de Izenpe. Dicho Comité revisa la DPC con una periodicidad anual o cuando se produzca cualquier cambio. Esta revisión incluye todas las Políticas de Certificado.

Las modificaciones en la DPC estarán recogidas en un documento de Actualización de Documentación Específica cuyo mantenimiento está garantizado por Izenpe.

Las versiones actualizadas de la documentación específica podrán ser consultadas en la dirección www.izenpe.eus.

14 / 16 Versión 1.3 4 CONTROL DE CAMBIOS 4.1 De la versión 0 a la 1.0 EPÍGRAFE / ACLARACION Actualizaciones respecto a la versión anterior

Añadido requisitos en apartado 2.2

Actualizados requisitos en apartados 2.1 y 2.2 Aclaraciones _{Actualizados requisitos en apartado 2.2} Actualizaciones de

formato. Añadido índice. Añadido pie de página.

Eliminaciones.

Eliminados requisitos en apartados 2.1 y 2.2 Eliminado año en portada

4.2 De la versión 1.0 a la 1.1

EPÍGRAFE / ACLARACION

Actualizaciones respecto a la versión anterior

Actualizados requisitos en validación del dominio, en el apartado 2.2

Aclaraciones Actualizaciones de formato.

Eliminaciones. Eliminadas gráficas en apartados 2.3 y 2.6.

4.3 De la versión 1.1 a la 1.2

EPÍGRAFE / ACLARACION Actualizaciones respecto a

la versión anterior Actualizados requisitos en validación CAA, en el apartado 2.2.

15 / 16 Versión 1.3 Actualizaciones de formato. Eliminaciones. 4.4 De la versión 1.2 a la 1.3 EPÍGRAFE / ACLARACION Actualizaciones respecto a la versión anterior  1. Introducción.

En el ámbito del proyecto de Google Certificate Transparency, los certificados SSL EV y Sede EV emitidos se publicarán en el servicio CT de los proveedores de Log Servers con los cuales Izenpe mantiene un acuerdo.

 1.1. Descripción de certificados.

 Actualización de la normativa referente a la regulación del certificado de sello.

 Actualización de la validez de los certificados que podrá ser de 1 o 2 años

 1.2. Identificación

 Se incluyen los OID CA/B FORUM

 Los números de serie de los certificados tendrán al menos 64 bits de entropía

 Epígrafes 1.3 y siguientes.

Adecuación de la terminología a la emisión de certificados de tipo EV a entidades privadas.

 14.Disposiciones generales,

 Obligaciones de identificación. Se indica que todos los casos Izenpe comprueba la titularidad o control sobre el dominio.  Obligaciones del suscriptor del certificado. Se incluyen las

determinadas en el Acuerdo de Divulgación de Clave Pública (PDS).

 Apartados 1 ,2 y 3.

Inclusión de aclaraciones sobre cumplimiento de las BR.

Aclaraciones Actualizaciones de formato.

16 / 16 Versión 1.3 Eliminaciones.