Uso de certificados digitales en la firma electrónica
Su rol en la validez legal de las firmas: PKI, proveedores de confianza (QTSP), cadena de certificados, revocación (OCSP/CRL) y relación con FES/QES.
Los certificados digitales son el elemento central que aporta identidad, integridad y no repudio a la firma electrónica. Vinculan una clave pública con una entidad (persona u organización) y permiten verificar que una firma fue creada por quien dice ser y que el documento no fue alterado.
¿Qué es un certificado digital?
Es un archivo emitido por una entidad de confianza que asocia una clave pública con la identidad del titular. Incluye datos del sujeto, claves, periodo de validez, algoritmo y la firma de la autoridad emisora.
PKI & cadena de confianza
La Infraestructura de Clave Pública (PKI) define cómo se crean, distribuyen y validan certificados. La verificación sigue la cadena desde el certificado del firmante hasta la Autoridad Raíz, pasando por autoridades intermedias.
- Raíz & intermedia: anclan la confianza del ecosistema.
- Certificado de firmante: se usa para crear la firma digital del documento.
- Políticas & perfiles: describen los usos permitidos y restricciones.
Proveedores de confianza (QTSP) & políticas
En Europa (eIDAS) y Suiza (ZertES), los Qualified Trust Service Providers (QTSP) pueden emitir certificados cualificados para QES. Sus Certificate Policies y procedimientos de verificación (KYC, presencia remota/presencial, controles de seguridad) determinan el nivel de confianza.
Validación, expiración & revocación (OCSP/CRL)
Para fiarse de una firma hay que comprobar que el certificado del firmante está vigente y no ha sido revocado. Se usa OCSP (consulta en línea) o CRL (listas de revocación) y se verifica la cadena completa.
Relación con FES y QES
La FES (firma electrónica avanzada) vincula al firmante y permite detectar cambios; usa certificados emitidos con verificación de identidad robusta. La QES (cualificada) añade requisitos y se considera equivalente a la firma manuscrita en ZertES/eIDAS, cuando es emitida por un QTSP cualificado y con dispositivo/servicio cualificado.
Cómo interviene el certificado en la firma
- Se calcula el hash del documento.
- El firmante aplica su clave privada (protegida, p. ej. en HSM).
- Se adjunta el certificado y la cadena a la firma para que terceros puedan validarla.
- Se registra el evento en el audit trail y se agrega sellado de tiempo si aplica.
Sellado de tiempo & validación a largo plazo
Para firmas que deben conservarse años, se recomienda sellado de tiempo y perfiles de validación a largo plazo (por ejemplo, adjuntando respuestas OCSP/CRL y cadena). Así se mantiene la verificabilidad incluso si un certificado expira.
Mejores prácticas
FAQ – Certificados digitales para firmas electrónicas
¿Quién puede emitir certificados válidos para QES?
Los proveedores de servicios de confianza cualificados (QTSP) bajo eIDAS/ZertES, cumpliendo requisitos técnicos y de verificación de identidad.
¿Qué pasa si expira el certificado?
La firma sigue verificable si incluye cadena y evidencias (sellado de tiempo, OCSP/CRL archivados). Por eso se recomienda validación a largo plazo.
¿FES y QES usan el mismo tipo de certificado?
Ambas utilizan certificados, pero la QES exige un certificado cualificado emitido por un QTSP, con requisitos adicionales de emisión y custodia.
¿Dónde se guarda la clave privada?
En un dispositivo/servicio seguro, típicamente un HSM o equivalente, para evitar fugas y manipulación.
Certificados confiables para tus firmas
Con SignnTrack, firma con certificados emitidos por proveedores de confianza, audit trail y sellado de tiempo.
Probar gratisConclusión: Los certificados digitales sostienen la validez legal de la firma electrónica. Una gestión correcta de la cadena, revocación y evidencias —junto con HSM y políticas claras— asegura verificabilidad presente y futura.