Perfiles de certificados S/MIME
En este documento se indican los requisitos que deben cumplir todos los certificados de una cadena X.509 para que esta se considere de confianza y se pueda utilizar en el contexto del correo electrónico firmado o cifrado mediante S/MIME. Además de cumplir los requisitos, la cadena debe estar anclada al certificado de una autoridad de certificación (CA) que Google haya designado expresamente como de confianza para ese fin. Google mantiene una lista de certificados de CA de estas características y la actualiza periódicamente. Ten en cuenta que las CA se consideran de confianza únicamente a juicio de Google, quien se reserva el derecho a retirar las CA raíces en cualquier momento, por cualquier motivo o sin ninguna justificación.
En las tablas siguientes se proporcionan los detalles de la cadena de certificados.
CA raíz
Campo | Valor |
---|---|
DN de la entidad emisora |
DEBE identificar a la CA. |
DN de la entidad receptora |
La forma codificada DEBE coincidir byte a byte con el DN de la entidad emisora. |
Información de clave pública de la entidad receptora |
rsaEncryption con un módulo RSA de 2048, 3072 o 4096. O bien, ecPublicKey mediante secp256r1 o secp384r1. |
Certificados de CA intermedias que no sean CA intermedias emisoras
Solo es relevante si hay más de una CA intermedia entre la raíz y la entidad final, tanto directa como indirectamente.
Campo | Valor | ||
---|---|---|---|
Versión | Versión 3 | ||
Número de serie | DEBE ser superior a cero (0) e inferior o igual a 20 bytes cuando DER está codificado como INTEGER. | ||
Algoritmo de firma | RSA con SHA‐256, SHA‐384 o SHA‐512. O bien, ECDSA con SHA‐256, SHA‐384 o SHA‐512. | ||
DN de la entidad emisora |
DEBE coincidir byte a byte con el DN de la entidad receptora de la CA emisora. |
||
Periodo de validez | Ninguna estipulación. | ||
DN de la entidad receptora | Ninguna estipulación. | ||
Información de clave pública de la entidad receptora |
rsaEncryption con un módulo RSA de 2048, 3072 o 4096. O bien, ecPublicKey mediante secp256r1 o secp384r1. |
||
Extensión | Presencia | Es esencial | Valor |
Uso de claves | Obligatoria | Sí |
SE DEBEN establecer posiciones de bits para: |
Restricciones básicas | Obligatoria | Sí | El campo cA SE DEBE establecer como verdadero. El campo pathLenConstraint DEBERÍA estar presente. |
Puntos de distribución de listas de revocación de certificados (CRL) | Obligatoria | No |
DEBE haber al menos un uniformResourceIdentifier |
(nota) | Los servidores de revocación deben funcionar de acuerdo con las secciones siguientes del documento "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" (Política de certificación sobre requisitos de referencia para la emisión y la gestión de certificados públicos de confianza) versión 1.3.2 o posteriores del CA/Browser Forum:
|
||
Cualquier otra extensión | PODRÍA estar presente. |
Certificado de CA intermedia que emite la entidad final
Al menos DEBE haber un certificado de una CA intermedia en la cadena. Es decir, la raíz NO DEBE emitir los certificados de entidad final directamente.
Campo | Valor | ||
---|---|---|---|
Versión | Versión 3 | ||
Número de serie | DEBE ser superior a cero (0) e inferior o igual a 20 bytes cuando DER está codificado como INTEGER. | ||
Algoritmo de firma |
RSA con SHA‐256, SHA‐384 o SHA‐512. O bien, ECDSA con SHA‐256, SHA‐384 o SHA‐512. |
||
DN de la entidad emisora |
DEBE coincidir byte a byte con el DN de la entidad receptora de la CA emisora. |
||
Periodo de validez |
La diferencia entre notBefore y notAfter NO DEBERÍA ser superior a 10 años y NO DEBE ser superior a 20 años. |
||
DN de la entidad receptora |
DEBERÍA indicar el uso de la CA. |
||
Información de clave pública de la entidad receptora |
rsaEncryption con un módulo RSA de 2048, 3072 o 4096. O bien, ecPublicKey mediante secp256r1 o secp384r1. |
||
Extensión | Presencia | Es esencial | Valor |
Uso de claves | Obligatoria | Sí |
SE DEBEN establecer posiciones de bits para: NO SE DEBEN establecer otras posiciones de bits. |
Uso mejorado de claves | Obligatoria | Cualquiera de las dos | DEBE estar presente: emailProtection NO DEBEN estar presentes: serverAuth codeSigning timeStamping anyExtendedKeyUsage |
Restricciones básicas |
Obligatoria | Sí |
El campo cA SE DEBE establecer como verdadero. |
Políticas de certificados | Opcional | No |
SE DEBERÍA proporcionar un policyIdentifier que identifique la política con la que opera la CA y este NO DEBERÍA ser anyPolicy. |
Puntos de distribución de listas de revocación de certificados (CRL) | Obligatoria | No |
DEBE haber al menos un uniformResourceIdentifier |
(nota) |
Los servidores de revocación deben funcionar de acuerdo con las secciones siguientes del documento "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" (Política de certificación sobre requisitos de referencia para la emisión y la gestión de certificados públicos de confianza) versión 1.3.2 o posteriores del CA/Browser Forum: |
||
Cualquier otra extensión | Opcional | No |
PODRÍA estar presente. |
Certificado de entidad final
Campo | Valor | ||
---|---|---|---|
Versión | Versión 3 | ||
Número de serie |
DEBE ser superior a cero (0) y DEBE contener al menos 64 bits no predecibles. Nota: Se actualizará para reflejar los requisitos de entropía del número de serie del documento "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" (Política de certificación sobre requisitos de referencia para la emisión y la gestión de certificados públicos de confianza) del CA/Browser Forum. |
||
Algoritmo de firma | RSA con SHA‐256, SHA‐384 o SHA‐512. O bien, ECDSA con SHA‐256, SHA‐384 o SHA‐512. | ||
DN de la entidad emisora |
DEBE coincidir byte a byte con el DN de la entidad receptora de la CA emisora. |
||
Periodo de validez |
La diferencia entre notBefore y notAfter NO DEBE ser superior a 27 meses. La hora de notBefore DEBE representar la hora de la firma, más o menos 48 horas. |
||
DN de la entidad receptora |
Cualquier nombre distintivo relativo de la entidad receptora que no sea la dirección de correo electrónico DEBE validarse rigurosamente antes de la emisión mediante un procedimiento documentado y auditado públicamente. Consulta la sección §3.2.3 "Authentication of Individual Identity" (Autenticación de identidades individuales) en el documento "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" (Política de certificación sobre requisitos de referencia para la emisión y la gestión de certificados públicos de confianza) versión 1.3.2 o posteriores del CA/Browser Forum para conocer algún procedimiento aceptable. Cualquier dirección de correo electrónico (por ejemplo, en los campos commonName o emailAddress) también DEBE estar presente en la extensión de nombre alternativo de la entidad receptora, como un rfc822Name. |
||
Información de clave pública de la entidad receptora |
rsaEncryption con un módulo RSA de 2048, 3072 o 4096. O bien, ecPublicKey mediante secp256r1 o secp384r1. |
||
Extensión | Presencia | Es esencial | Valor |
Uso de claves (RSA) | Obligatoria | Sí |
SE DEBEN establecer posiciones de bits para: NO SE DEBEN establecer otras posiciones de bits. |
Uso de claves (ECDH) | Obligatoria |
SE DEBEN establecer posiciones de bits para: NO SE DEBEN establecer otras posiciones de bits. |
|
Uso mejorado de claves | Obligatoria | Cualquiera de las dos |
DEBE estar presente: |
Restricciones básicas |
Opcional | Cualquiera de las dos |
Si está presente, el campo cA NO SE DEBE establecer como verdadero. |
Políticas de certificados | Obligatoria | No | DEBE estar presente: SE DEBE proporcionar un policyIdentifier que identifique la política con la que se emitió el certificado y este NO DEBE ser anyPolicy. PODRÍA estar presente: cps, si está presente, DEBE contener un enlace HTTP o HTTPS válido a la declaración de prácticas de certificación (CPS) en virtud de la cual se emitió el certificado. |
Acceso a información de la autoridad |
Opcional | No |
caIssuers y, si está presente, ocsp, DEBEN contener al menos un uniformResourceIdentifier HTTP accesible públicamente. AccessDescription NO DEBE contener etiquetas o parámetros que sean específicos de un certificado individual. |
Puntos de distribución de listas de revocación de certificados (CRL) | Obligatoria | No |
DEBE haber al menos un uniformResourceIdentifier |
(nota) |
Los servidores de revocación deben funcionar de acuerdo con las secciones siguientes del documento "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" (Política de certificación sobre requisitos de referencia para la emisión y la gestión de certificados públicos de confianza) versión 1.3.2 o posteriores del CA/Browser Forum: |
||
Nombre alternativo de la entidad receptora |
Obligatoria | No |
DEBE contener al menos un elemento del tipo rfc822Name. |
Cualquier otra extensión |
Opcional | No | PODRÍA estar presente. |