En el post de hoy hablaremos sobre la importancia que tienen los certificados cualificados de autenticación de sitio web o QWAC (Qualified Website Authentication Certificates), tanto para el usuario como para la empresa, y los conflictos que se han creado a su alrededor.
Partimos de la base que los QWAC, por sus características, se suelen asimilar a los certificados SSL EV. Como ya explicamos en el post ¿Sabes qué es un certificado SSL?, los SSL EV son los certificados más fiables y seguros del mundo y dan a los usuarios la confianza de que el sitio web es seguro y este aumento de confianza ayuda a las empresas a impulsar las ventas.
La regulación de los EV viene dada por las EV guidelines publicadas por el CA/Browser Forum (asociación de la industria de Autoridades de Certificación que emiten certificados de sitio web y fabricantes de software, mayoritariamente navegadores, que confían en estos certificados) y los QWAC vienen regulados por el Reglamento Europeo eIDAS y las normas ETSI que lo desarrollan.
¿Qué posición tienen los navegadores?
Parece claro que contar con un QWAC o certificado EV es importante ya que los visitantes de una web pueden ver que se trata de una organización legítima y no de estafadores.
¿Pero qué sucede cuándo entramos en los navegadores?
En 2019 tanto Chrome como Firefox deciden eliminar las marcas visuales de los certificados EV, alegando que no aporta valor al usuario. Por lo tanto, un cliente normal de Internet no puede apreciar a simple vista si una web está protegida por un QWAC, con todas sus garantías y coste asociado.
¿Por qué? El ánimo de Google es securizar todas las comunicaciones en Internet lo más rápido posible, por eso apuesta por certificados DV totalmente automatizables y que pueden llegar a conseguirse de forma gratuita.
Certificado DV, un certificado carente de garantías de seguridad
Los certificados de validación del dominio – DV- se verifican usando solo el nombre del dominio y no requieren de ninguna intervención humana para su emisión, por lo tanto, carecen de garantías de seguridad.
¿Qué posición tiene la Comisión Europea?
El ánimo de la Comisión Europea es ofrecer servicios de confianza de alta calidad por lo que apuesta por certificados QWAC que garantizan existencia y control de un dominio por una organización validada y con certificados solicitados por personal con responsabilidad dentro de la organización.
Conflicto de intereses
Aunque las reglas para que los navegadores acepten certificados, presumiblemente, se consensúan en el CA/Browser Forum, en ocasiones los navegadores imponen sus condiciones a la hora de admitir como seguros los certificados de determinadas Autoridades de Certificación.
Estas reglas van al margen de los requisitos de eIDAS para los QWAC y son extremadamente cambiantes, como las 8 versiones diferentes de las CA/B Forum Guidelines durante 2020.
A pesar de lo anterior, Firmaprofesional cumple con estos requisitos y es una de las entidades en las que confían los navegadores..
¿Cómo se resuelve la situación actual de los QWAC?
Para poner en valor los QWAC, la Comisión Europea ha regulado la necesidad de usar certificados QWAC en las transacciones entre partes reguladas bajo la directiva PSD2 de proveedores de pago.
En España, además, los certificados de Sede Electrónica también deben ser QWAC.
Finalmente, y para desencallar el conflicto, la Comisión Europea ha incluido en el borrador de la revisión de eIDAS la necesidad de que los navegadores que operen en Europa, necesariamente deben confiar en los certificados QWAC (Qualified certificates for website authentication referred to in paragraph 1 shall be recognised by web-browsers).