2.3 Autoridades Certificadoras
Una alternativa al intercambio seguro de claves es la utilización de certificados de autenticidad emitidos por entidades de confianza para las partes intervinientes. Tales entidades son las Autoridades Certificadoras (Certificate Authorities, CA).
Las Autoridades de Certificación (AC) se encargan de autentificar a los participantes en una transacción o comunicación. El empleo de canales seguros no garantiza el aspecto económico de la transacción. Por ejemplo, cualquiera podría suplantar a otra persona introduciendo correctamente los datos de su tarjeta. Por esto, las Autoridades de Certificación son necesarias para autentificar y garantizar que cada uno es quien dice ser.
El certificado es una clave electrónica formada a partir de la clave pública del ente para el que se emite, certificada y firmada por la clave privada de la AC. Así se garantiza la autentificación del ente certificado y de toda la información que venga cifrada con su clave pública. Como la clave pública de la CA está ampliamente distribuida, no existe riesgo de suplantación de identidad.
Los campos que suele llevar un certificado son:
| Identificador de a quién pertenecen el certificado. |
| Identificador de la Autoridad de Certificación. |
| Fechas de inicio y finalización del período de validez del certificado. |
| Identificador del certificado o número de serie |
| La clave pública del ente a quien se está certificando. |
| Firma de la Autoridad de Certificación. |
Verisign es la AC más consolidada hoy día, si bien son muchas las compañías que están maniobrando con rapidez para ofrecer sus propias soluciones. En el caso de Verisign existen diferentes clases de certificados, dependiendo del nivel de autentificación que se quiera alcanzar, y los requisitos para los mismos van en función de este nivel. La «Clase 1» es la más baja, se emite para uso individual y se puede conseguir en Internet, lo único que autentifica es la relación entre un nombre de usuario y una dirección e- mail. Los certificados de «Clase 2» se expiden después de comparar la información aportada por el suscriptor en determinadas bases de datos de consumidores
. Por último, tenemos los certificados de «Clase 3», que son los recomendados para Comercio Electrónico. Es en estos en los que se verifica la autentificación mediante documentación del registro civil e informes adicionales, llegándose incluso a exigir que el usuario lleve personalmente la solicitud ante notario.
La emisión y verificación de los certificados de autenticidad está sometida a una jerarquía de confianza, con una autoridad certificadora principal que emite certificados para los niveles inferiores.
El seguimiento de este árbol de confianza hacia arriba permite asegurar la autenticidad de un certificado, y por tanto de la clave certificada, para cada nivel dado. Cada certificado está enlazado a la firma del agente participante al que certifica.
La clave de la CA de primer nivel estará disponible para los fabricantes de software, en un certificado auto-firmado. Se han previsto los procesos para reemplazar la clave original, y su verificación.
El comprador obtiene sus certificados de la entidad financiera que emite las tarjetas con las que opera para realizar las transacciones de Comercio Electrónico. Para todos los efectos, una vez que la entidad financiera ha identificado debidamente al comprador potencial, los certificados sustituyen, funcionalmente, a las tarjetas.
El comerciante obtiene sus certificados de la entidad financiera con la que firma contratos de adhesión para la aceptación de las diferentes tarjetas de crédito y débito emitidas por dicha entidad en nombre del propietario de la marca. Estos certificados sustituyen funcionalmente a las pegatinas que exhiben actualmente los escaparates de los comercios, y que permiten identificar la existencia de una relación comercial con una entidad financiera que les permitirá aceptar pagos con diferentes marcas y tipos de tarjetas.
Evidentemente, un comerciante podrá disponer de más de un par de certificados, y tendrá tantos como marcas de tarjetas esté aceptando como medio de pago. El acquirer (entidad financiera del comerciante) debe poseer certificados para poder operar como CA y emitir certificados para los comerciantes. El acquirer obtendrá sus certificados del propietario de la marca de tarjetas. El issuer (entidad financiera del comprador) debe poseer certificados para poder operar como CA y emitir certificados para los compradores. El issuer obtendrá sus certificados del propietario de la marca de tarjetas.
GLOSARIO | DIRECCIONES
DE INTERES |
 |
 |
 |
 |
 |
 |