Perfiles de certificados S/MIME

En este documento se indican los requisitos que deben cumplir todos los certificados de una cadena X.509 para que esta se considere de confianza y se pueda utilizar en el contexto del correo electrónico firmado o cifrado mediante S/MIME. Además de cumplir los requisitos, la cadena debe estar anclada al certificado de una autoridad de certificación (CA) que Google haya designado expresamente como de confianza para ese fin. Google mantiene una lista de certificados de CA de estas características y la actualiza periódicamente. Ten en cuenta que las CA se consideran de confianza únicamente a juicio de Google, quien se reserva el derecho a retirar las CA raíces en cualquier momento, por cualquier motivo o sin ninguna justificación.

En las tablas siguientes se proporcionan los detalles de la cadena de certificados.

CA raíz

Campo Valor

DN de la entidad emisora

DEBE identificar a la CA.
Por ejemplo, el nombre distintivo (DN) no debe ser un valor genérico como "Autoridad de certificación".

DN de la entidad receptora

La forma codificada DEBE coincidir byte a byte con el DN de la entidad emisora.

Información de clave pública de la entidad receptora

rsaEncryption con un módulo RSA de 2048, 3072 o 4096. O bien, ecPublicKey mediante secp256r1 o secp384r1.

Certificados de CA intermedias que no sean CA intermedias emisoras

Solo es relevante si hay más de una CA intermedia entre la raíz y la entidad final, tanto directa como indirectamente.

Campo Valor
Versión Versión 3
Número de serie     DEBE ser superior a cero (0) e inferior o igual a 20 bytes cuando DER está codificado como INTEGER.
Algoritmo de firma     RSA con SHA‐256, SHA‐384 o SHA‐512. O bien, ECDSA con SHA‐256, SHA‐384 o SHA‐512.
DN de la entidad emisora    

DEBE coincidir byte a byte con el DN de la entidad receptora de la CA emisora.

Periodo de validez     Ninguna estipulación.
DN de la entidad receptora     Ninguna estipulación.
Información de clave pública de la entidad receptora    

rsaEncryption con un módulo RSA de 2048, 3072 o 4096.  O bien, ecPublicKey mediante secp256r1 o secp384r1.

Extensión Presencia Es esencial Valor
Uso de claves Obligatoria

SE DEBEN establecer posiciones de bits para:
   keyCertSign
SE PODRÍA establecer cualquier otra posición de bits.

Restricciones básicas Obligatoria El campo cA SE DEBE establecer como verdadero.
El campo pathLenConstraint DEBERÍA estar presente.
Puntos de distribución de listas de revocación de certificados (CRL) Obligatoria No

DEBE haber al menos un uniformResourceIdentifier
HTTP accesible públicamente.

(nota) Los servidores de revocación deben funcionar de acuerdo con las secciones siguientes del documento "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" (Política de certificación sobre requisitos de referencia para la emisión y la gestión de certificados públicos de confianza) versión 1.3.2 o posteriores del CA/Browser Forum:
  • 4.9.7. CRL Issuance Frequency (Frecuencia de emisión de CRL)
  • 4.9.9. On‐line Revocation/Status Checking Availability (Disponibilidad de comprobación de revocación y estado online)
  • 4.9.10. On‐line Revocation Checking Requirements (Requisitos de comprobación de revocación online)
    4.10.2 Service Availability (Disponibilidad del servicio)

Cualquier otra extensión PODRÍA estar presente.

Certificado de CA intermedia que emite la entidad final

Al menos DEBE haber un certificado de una CA intermedia en la cadena. Es decir, la raíz NO DEBE emitir los certificados de entidad final directamente.

Campo Valor
Versión Versión 3
Número de serie DEBE ser superior a cero (0) e inferior o igual a 20 bytes cuando DER está codificado como INTEGER.
Algoritmo de firma

RSA con SHA‐256, SHA‐384 o SHA‐512. O bien, ECDSA con SHA‐256, SHA‐384 o SHA‐512.

DN de la entidad emisora    

DEBE coincidir byte a byte con el DN de la entidad receptora de la CA emisora.

Periodo de validez    

La diferencia entre notBefore y notAfter NO DEBERÍA ser superior a 10 años y NO DEBE ser superior a 20 años.

DN de la entidad receptora    

DEBERÍA indicar el uso de la CA.

Información de clave pública de la entidad receptora    

rsaEncryption con un módulo RSA de 2048, 3072 o 4096.  O bien, ecPublicKey mediante secp256r1 o secp384r1.

Extensión Presencia Es esencial Valor
Uso de claves Obligatoria

SE DEBEN establecer posiciones de bits para:
    keyCertSign
SE PODRÍA establecer una posición de bits para:
    cRLSign
    digitalSignature
Si se utiliza para firmar respuestas de OCSP directamente, DEBE estar presente:
    digitalSignature

NO SE DEBEN establecer otras posiciones de bits.

Uso mejorado de claves Obligatoria Cualquiera de las dos DEBE estar presente:
    emailProtection
NO DEBEN estar presentes:
    serverAuth
    codeSigning
    timeStamping
​    anyExtendedKeyUsage

Restricciones básicas

Obligatoria

El campo cA SE DEBE establecer como verdadero.
El campo pathLenConstraint DEBERÍA estar presente y DEBERÍA ser 0.

Políticas de certificados Opcional No

SE DEBERÍA proporcionar un policyIdentifier que identifique la política con la que opera la CA y este NO DEBERÍA ser anyPolicy.
cps, si está presente, DEBE contener un enlace HTTP o HTTPS válido.

Puntos de distribución de listas de revocación de certificados (CRL) Obligatoria No

DEBE haber al menos un uniformResourceIdentifier
HTTP accesible públicamente.

(nota)    

Los servidores de revocación deben funcionar de acuerdo con las secciones siguientes del documento "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" (Política de certificación sobre requisitos de referencia para la emisión y la gestión de certificados públicos de confianza) versión 1.3.2 o posteriores del CA/Browser Forum:
  4.9.7. CRL Issuance Frequency (Frecuencia de emisión de CRL)
  4.9.9. On‐line Revocation/Status Checking Availability (Disponibilidad de comprobación de revocación y estado online)
  4.9.10. On‐line Revocation Checking Requirements (Requisitos de comprobación de revocación online)
  4.10.2. Service Availability (Disponibilidad del servicio)

Cualquier otra extensión Opcional No 

PODRÍA estar presente.

Certificado de entidad final

Campo Valor
Versión Versión 3
Número de serie

DEBE ser superior a cero (0) y DEBE contener al menos 64 bits no predecibles.

Nota: Se actualizará para reflejar los requisitos de entropía del número de serie del documento "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" (Política de certificación sobre requisitos de referencia para la emisión y la gestión de certificados públicos de confianza) del CA/Browser Forum.

Algoritmo de firma RSA con SHA‐256, SHA‐384 o SHA‐512. O bien, ECDSA con SHA‐256, SHA‐384 o SHA‐512.
DN de la entidad emisora

DEBE coincidir byte a byte con el DN de la entidad receptora de la CA emisora.

Periodo de validez

La diferencia entre notBefore y notAfter NO DEBE ser superior a 27 meses.

La hora de notBefore DEBE representar la hora de la firma, más o menos 48 horas.

DN de la entidad receptora    

Cualquier nombre distintivo relativo de la entidad receptora que no sea la dirección de correo electrónico DEBE validarse rigurosamente antes de la emisión mediante un procedimiento documentado y auditado públicamente.  Consulta la sección §3.2.3 "Authentication of Individual Identity" (Autenticación de identidades individuales) en el documento "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" (Política de certificación sobre requisitos de referencia para la emisión y la gestión de certificados públicos de confianza) versión 1.3.2 o posteriores del CA/Browser Forum para conocer algún procedimiento aceptable.

Cualquier dirección de correo electrónico (por ejemplo, en los campos commonName o emailAddress) también DEBE estar presente en la extensión de nombre alternativo de la entidad receptora, como un rfc822Name.

Información de clave pública de la entidad receptora    

rsaEncryption con un módulo RSA de 2048, 3072 o 4096. O bien, ecPublicKey mediante secp256r1 o secp384r1.

Extensión Presencia Es esencial Valor
Uso de claves (RSA) Obligatoria

SE DEBEN establecer posiciones de bits para:
    digitalSignature
 y/o
    nonRepudiation/contentCommitment
SE PODRÍAN establecer posiciones de bits para:
    dataEncipherment
    keyEncipherment

NO SE DEBEN establecer otras posiciones de bits.

Uso de claves (ECDH)  Obligatoria  

SE DEBEN establecer posiciones de bits para:
    digitalSignature
SE PODRÍAN establecer posiciones de bits para:
    nonRepudiation/contentCommitment
    keyAgreement
    encipherOnly (si se establece keyAgreement)
    decipherOnly (si se establece keyAgreement)

NO SE DEBEN establecer otras posiciones de bits.

Uso mejorado de claves Obligatoria Cualquiera de las dos

DEBE estar presente:
   emailProtection
NO DEBEN estar presentes:
   serverAuth
   codeSigning
   timeStamping
   anyExtendedKeyUsage

Restricciones básicas

Opcional Cualquiera de las dos

Si está presente, el campo cA NO SE DEBE establecer como verdadero.
El campo pathLenConstraint NO DEBE estar presente.

Políticas de certificados Obligatoria No DEBE estar presente:
    SE DEBE proporcionar un policyIdentifier que identifique la política con la que
    se emitió el certificado y este NO DEBE ser anyPolicy
PODRÍA estar presente:
   cps, si está presente, DEBE contener un enlace HTTP o HTTPS válido a la declaración de prácticas de certificación (CPS)
   en virtud de la cual se emitió el certificado.

Acceso a información de la autoridad

Opcional No

caIssuers y, si está presente, ocsp, DEBEN contener al menos un uniformResourceIdentifier HTTP accesible públicamente.

AccessDescription NO DEBE contener etiquetas o parámetros que sean específicos de un certificado individual.

Puntos de distribución de listas de revocación de certificados (CRL) Obligatoria No

DEBE haber al menos un uniformResourceIdentifier
HTTP accesible públicamente.

(nota)

   

Los servidores de revocación deben funcionar de acuerdo con las secciones siguientes del documento "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" (Política de certificación sobre requisitos de referencia para la emisión y la gestión de certificados públicos de confianza) versión 1.3.2 o posteriores del CA/Browser Forum:
   4.9.7. CRL Issuance Frequency (Frecuencia de emisión de CRL)
   4.9.9. On‐line Revocation/Status Checking Availability (Disponibilidad de comprobación de revocación y estado online)
   4.9.10. On‐line Revocation Checking Requirements (Requisitos de comprobación de revocación online)
   4.10.2. Service Availability (Disponibilidad del servicio)

Nombre alternativo de la entidad receptora

Obligatoria No

DEBE contener al menos un elemento del tipo rfc822Name.
NO DEBE contener elementos del tipo:
   dNSName
   iPAddress
   uniformResourceIdentifier
Cada rfc822Name se debe verificar con procedimientos documentados y auditados públicamente para garantizar que la entidad que envía la solicitud controla la cuenta de correo electrónico asociada con la dirección de correo electrónico, o bien que tiene autorización del titular de la cuenta de correo electrónico para actuar en su nombre.

Cualquier otra extensión

Opcional No PODRÍA estar presente.

 

 

 

 

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?