Una política de certificados (PC) es un documento cuyo objetivo es establecer cuáles son las diferentes entidades de una infraestructura de clave pública (PKI), sus funciones y sus obligaciones. Este documento se publica en el perímetro de la PKI.
Cuando se utiliza con certificados X.509 , se puede configurar un campo específico para incluir un enlace a la política de certificado asociada. De este modo, durante un intercambio, cualquier parte que confía tiene acceso al nivel de seguridad asociado con el certificado y puede decidir el nivel de confianza que se le otorgará al certificado.
El documento de referencia para la redacción de una política de certificación es, a fecha de diciembre de 2010 [actualizar], el RFC 3647. El RFC propone un marco para la redacción de políticas de certificación y Declaraciones de Prácticas de Certificación (CPS). Los puntos que se describen a continuación se basan en el marco presentado en el RFC.
El documento debe describir la arquitectura general de la PKI relacionada, presentar las diferentes entidades de la PKI y cualquier intercambio basado en certificados emitidos por esta misma PKI.
Un punto importante de la política de certificados es la descripción de los usos autorizados y prohibidos de los certificados. Cuando se emite un certificado, se puede indicar en sus atributos qué casos de uso se pretende que cumpla. Por ejemplo, se puede emitir un certificado para la firma digital de correo electrónico (también conocido como S/MIME ), el cifrado de datos, la autenticación (por ejemplo, de un servidor web , como cuando se utiliza HTTPS ) o la emisión posterior de certificados (delegación de autoridad). Los usos prohibidos se especifican de la misma manera.
El documento también describe cómo se deben elegir los nombres de los certificados y, además, las necesidades asociadas de identificación y autenticación . Cuando se completa una solicitud de certificación, la autoridad de certificación (o, por delegación, la autoridad de registro ) se encarga de verificar la información proporcionada por el solicitante, como su identidad. Esto es para asegurarse de que la CA no participe en un robo de identidad .
La generación
Los diferentes procedimientos para la solicitud, emisión, aceptación, renovación, recodificación, modificación y revocación de certificados constituyen una gran parte del documento. Estos procedimientos describen cómo debe actuar cada actor de la PKI para que se acepte el nivel de seguridad completo.
Luego se encuentra un capítulo referente a los controles físicos y procedimentales, procedimientos de auditoría y registro involucrados en la PKI para asegurar la integridad , disponibilidad y confidencialidad de los datos .
Esta parte describe cuáles son los requisitos técnicos con respecto al tamaño de las claves, la protección de las claves privadas (mediante el uso de depósito de claves ) y varios tipos de controles relacionados con el entorno técnico (computadoras, red).
Estas listas son una parte vital de cualquier infraestructura de clave pública y, como tal, se dedica un capítulo específico a la descripción de la gestión asociada a estas listas, para garantizar la coherencia entre el estado del certificado y el contenido de la lista.
La PKI debe ser auditada para garantizar que cumple con las normas establecidas en sus documentos, como la política de certificados. Los procedimientos utilizados para evaluar dicho cumplimiento se describen aquí.
Este último capítulo aborda todos los puntos restantes, por ejemplo todos los asuntos legales asociados a la PKI.