17 may. 2023

Una mirada rápida a los nuevos Requisitos Básicos del Foro CA/B para S/MIME

En julio de 2020, el Foro CA/B estableció el SMCWG (Grupo de Trabajo de Certificados S/MIME) con el propósito de desarrollar requisitos para las Autoridades de Certificación que emiten Certificados Digitales S/MIME para firmar, verificar, cifrar y descifrar correos electrónicos.

El nuevo conjunto de estándares del Foro CA/B, denominado Requisitos Básicos, entrará en vigencia el 1 de septiembre de 2023. Es un hito importante para la seguridad y la privacidad de las comunicaciones electrónicas, ya que los certificados S/MIME se utilizan para asegurar las comunicaciones por correo electrónico y proteger la información confidencial. El nuevo conjunto de requisitos garantiza que los certificados S/MIME cumplan con un nivel constante de seguridad y compatibilidad, proporcionando un entorno más seguro para el intercambio de información. Este desarrollo es un paso positivo hacia la mejora de la seguridad general de Internet y la protección de la privacidad de los usuarios.

Como sabemos, S/MIME (Secure/Multipurpose Internet Mail Extension) es un protocolo ampliamente utilizado para enviar mensajes de correo electrónico firmados y cifrados. Mediante el uso de firmas S/MIME, el origen del mensaje se verifica y protege contra la manipulación, mientras que el cifrado S/MIME garantiza la privacidad de la comunicación entre el remitente y el destinatario. Este nuevo conjunto de prácticas será aplicable para todos los Certificados Digitales de confianza que tengan la extensión EKU (Extended Key Usage) configurada como id-kp-emailProtection (OID: 1.3.6.1.5.5.7.3.4).

Los requisitos básicos de S/MIME ahora han categorizado los certificados S/MIME en cuatro tipos de validación diferentes definidos de acuerdo con la información que se incluye en el campo de asunto del certificado.

• Buzón-Validado: el asunto se limita a (opcional) asunto: dirección de correo electrónico y/o asunto: atributos de número de serie.
• Organización-Validada: incluye solo los atributos de la organización (entidad jurídica) en el asunto.
• Patrocinador-Validado : el asunto contiene los atributos de individuo (persona física) junto con el asunto: nombre de la organización.
• Individual-Validado : El asunto contiene solo los detalles individuales del usuario en el Certificado.

En todos estos casos, el control del buzón por parte del usuario se valida de acuerdo con el conjunto de reglas pertinente definido en los requisitos básicos. Además, estos tipos están segregados en función de sus Generaciones.

• Legado: esto es para facilitar la mayoría de las prácticas actuales aceptables para ser elegible para auditoría bajo las pautas del foro CA/B, con cambios menores como la inclusión de un identificador de organización único en todos los tipos de certificados que contienen atributos de organización. Asimismo, la vigencia máxima del certificado es de 1185 días. Los perfiles heredados harán que la transición a Multipropósito y Estricto sea mucho más fácil en comparación con las prácticas actuales.
• Multipropósito: está diseñado para facilitar casos de uso como la autenticación de clientes, la firma de documentos, etc. para que se permitan junto con el correo seguro. Aquí, la validez máxima es de solo 825 días. Al igual que 'Estricto', este tipo de generación también se enfoca en un uso más estricto de los atributos de DN del sujeto.
• Estricto : SMIME Working Group apunta hacia este tipo de generación a largo plazo. Se enfoca solo en casos de uso de correo seguro y no se puede integrar con otras extensiones, a diferencia de Multipurpose y Legacy Generations. Además, el objetivo aquí es lograr un uso más estricto de los atributos de DN de sujeto y otras extensiones. Este también tiene una vigencia máxima reducida de 825 días.

Además, los requisitos básicos de S/MIME han establecido métodos de validación que deben usarse para probar las identidades del usuario y su control sobre las direcciones de correo electrónico. Estos son:

• Validación del control sobre el buzón por correo electrónico, es decir, Desafio de Buzón de Correo Electrónico: esto prueba el control por correo electrónico de desafío o correo electrónico de respuesta del usuario. 
• Validación de la autoridad sobre el buzón a través del dominio,  es decir, control de dominio: esto utiliza las mejores prácticas actuales de los métodos de control de dominio existentes de los requisitos básicos de TLS.
• Validación del solicitante como operador de los servidores de correo asociados : Esto se hace confirmando el control del SMTP FQDN al que se dirige un mensaje entregado a la dirección del buzón.

Los requisitos básicos de S/MIME también han definido la duración de la validez de la validación. La identidad de organización e individual no se utilizará durante más de 825 días antes de la validación anterior. Asimismo, el control de validación del servidor de correo y control de dominio deberá obtenerse con una antelación máxima de 398 días a la emisión del Certificado.

GMO GlobalSign, que se enorgullece de ser una autoridad de certificación de confianza pública, adoptará este cambio para todas las ofertas S/MIME actuales.

Para obtener más información y aumentar la seguridad de sus comunicaciones por correo electrónico, visite este enlace: 

Protección de Correo Electrónico - S/MIME y Correo Electrónico Asegurado - GlobalSign