Las TSL (Trust Service status List) son listas de servicios de confianza cualificados expedidas por los organismos emisores (Operadores del Esquema) de cada uno de los países miembro de la Unión Europea (en conexión con los Organismos Supervisores, y frecuentemente formando parte de ellos) y son necesarias para establecer las cadenas de confianza de los certificados cualificados (y otros servicios de confianza), en el contexto del Reglamento EIDAS. Son ficheros codificados en XML (lo que optimiza su tratamiento automatizado) aunque se generan versiones en PDF para facilitar su lectura por los seres humanos.
Su estructura se define en la norma ETSI TS 119 612.
La lista de servicios de confianza cualificados debe estar firmada digitalmente por el «Scheme operator name» (Denominación del Operador del Esquema) para garantizar su autenticidad e integridad.
El formato de la firma digital debe ser XAdES BES o EPES, tal como se define en la norma ETSI TS 101 903. El algoritmo de firma y la clave del certificado deben permitir su uso durante un mínimo de 3 años, tal como se especifica en la siguiente tabla de ETSI TS 119 312:
El certificado del TLSO (Trust List Scheme Operator, en español Operador del Esquema de la Lista de Confianza), debe firmar electrónicamente la lista y de la validez de esta firma electrónica depende la validez de la lista del país. Esto implica incluir el certificado del firmante en la firma.
Para ello se debe utilizar el elemento de XML ds:KeyInfo, que solo deberá contener el certificado del Operador del Esquema y no deberá contener ningún otro certificado que forme ningún tipo de cadena de certificados asociada.
El certificado del Operador del Esquema deberá ajustarse a las siguientes restricciones:
- El emisor del certificado podrá ser el propio TLSO (en este caso se trataría de un certificado autofirmado) o un servicio de confianza TSP (Trust Service Provider) que figure en la TL (Trusted List) o en una de las TL que forma parte de la misma comunidad (opción descrita en el apartado 5.3.9 de la norma ETSI TS 119 612 citada).
- Los campos «Country code» (código de país) y «Organization» (organización) del Subject Distinguished Name (nombre distinguido del sujeto) deberán coincidir, respectivamente, con el «Scheme Territory» y uno de los valores de «Scheme operator name». Para este último, el valor en inglés del Reino Unido (preferido) o en el idioma local (transliterado a escritura latina), según esté disponible.
En el caso de la actual lista TSL de España el certificado es el siguiente:
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Al decodificarlo, el resultado es este:
Cabe indicar que el certificado no es el correcto, especialmente si se tiene en cuenta que es el certificado del organismo designado para supervisar el sector de los servicios de confianza.
La indicada, es la denominación del organismo supervisor en la legislatura anterior.
En efecto, el Real Decreto 2/2020, de 12 de enero, por el que se reestructuran los departamentos ministeriales, establece en su artículo 16
Artículo 16. Ministerio de Asuntos Económicos y Transformación Digital.
1. Corresponde al Ministerio de Asuntos Económicos y Transformación Digital la propuesta y ejecución de la política del Gobierno en materia económica y de reformas para la mejora de la competitividad, las telecomunicaciones y la sociedad de la información.
2. Asimismo corresponde a este Ministerio la propuesta y ejecución de la política del Gobierno para la transformación digital y el desarrollo y fomento de la inteligencia artificial.
3. Este Ministerio se estructura en los siguientes órganos superiores:
a) La Secretaría de Estado de Economía y Apoyo a la Empresa.
b) La Secretaría de Estado de Digitalización e Inteligencia Artificial.
c) La Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.
Posteriormente el Real Decreto 403/2020, de 25 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Asuntos Económicos y Transformación Digital desarrolla en su Artículo 8 la composición de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
c) La Subdirección General para la Sociedad Digital, a la que corresponden las funciones a las que se refieren los párrafos m), n), ñ), o) y p) del apartado 1.
Es decir:
m) La supervisión, impulso y coordinación de iniciativas para la garantía del derecho a la confianza y seguridad digital, y en especial a la protección de los menores y colectivos vulnerables, así como la regulación en materia de ciberseguridad de los servicios digitales, en colaboración con otros órganos u organismos con competencias en la materia, así como con los sectores económicos y sociales públicos y privados afectados.
n) La elaboración y propuesta de normativa en materia de servicios digitales y sus prestadores, en particular sobre identificación electrónica y servicios electrónicos de confianza, comercio electrónico y nombres de dominio de Internet.
ñ) La elaboración de normativa, en colaboración con otros departamentos, referente a la regulación de las plataformas digitales, entre otras, la relativa a la privacidad y protección de la información, así como a la garantía de equidad y respeto a los derechos digitales de usuarios y empresas.
o) El ejercicio de las facultades de supervisión, control, inspección y sanción en materia de la sociedad digital, de conformidad con la legislación aplicable, incluyendo la gestión de la lista de prestadores de servicios de confianza cualificados
p) La participación en comisiones, grupos de trabajo y otros foros de carácter internacional o nacional, tanto públicos como privados, en materia de sociedad digital, así como el seguimiento y participación en iniciativas y foros relacionados con la Gobernanza de Internet.
Esa norma se publicó en el «BOE» núm. 50, de 27 de febrero de 2020. Por tanto el certificado debería haberse actualizado al día siguiente. Un certificado autofirmado se realiza en 10 minutos, especialmente si se cuenta con el fichero de configuración de Open-SSL de la emisión anterior. Pon 10 días entre que se piensa y se planifica. Y algo más para comunicar a los administradores de la EUTL.
Es decir han transcurrido 975 días (31 meses) y el organismo que supervisa a los emisores de certificados no ha sido capaz de crear un certificado adecuado en el que el firmante sea quien dice ser.
Todo es electrónico 