Foro de PreparaTIC29

La Ley 11/2007 dice en el artículo 10.4 que:

"Las sedes electrónicas dispondrán de sistemas que permitan el establecimiento de comunicaciones seguras siempre que sean necesarias."

Luego en el artículo 17 dice que:

"Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las mismas, sistemas de firma electrónica basados en certificados de dispositivo seguro o medio equivalente."


¿Qué os parece cómo ha de interpretarse esto? Es decir, ¿en que quedamos? ¿Es obligatorio o no es obligatorio usar comunicaciones seguras siempre?

¿O es que el artículo 17 se refiere a que sólo en el caso de usar comunicaciones seguras han de utilizarse los medios especificados?

Yo entiendo que no, entiendo que según el artículo que habla de identificación de las sedes éstas siempre han de presentar un certificado para su identificación, en cuyo caso eso implicaría una conexión https y por tanto también una comunicación segura, de modo que el artículo 10.4 quedaría sin sentido ya que se utilizarían siempre comunicaciones seguras (que es lo que se observa además en la práctica)

Yo no aprecio contradicciones. Entiendo que la idea es que la sede implementará mecanismos para garantizar su identidad y la seguridad en las comunicaciones cuando ello sea necesario, por ejemplo en la realización de un trámite concreto (en el titular de la sección dice "para el ejercicio de sus competencias"). Para lo que no requiera tales garantías, no es necesario, entiendo yo.

Otra cosa es que en la implementación real todas las sedes utilizan ssl si o si, pero entiendo que sea por simplificar las cosas, total, si ya tienen el certificado de servidor...

Artículo 10.2: El establecimiento de una sede electrónica conlleva la responsabilidad del titular respecto de la integridad, veracidad y actualización de la información y los servicios a los que pueda accederse a través de la misma

No veo cómo se puede garantizar la integridad de la información si no usas https. Hay casos particulares como el BOE, en el que la verdadera información está toda en pdfs firmados, pero para la mayoría de los casos la información es html.

Yo tampoco veo contradicción. La ley dice, como citáis arriba, "siempre que sean necesarias". Pues eso.

Sobre la integridad, debes garantizarla, pero ahí ya puedes hacerlo de diferentes formas, y la elección dependerá de muchos factores. SSL es simplemente una forma, que tiene la ventaja de que va a aplicar a todo el contenido de la comunicación, y la desventaja de que, por lo que respecta a la autenticación es menos granular que otras.

Si tú ya estás garantizando la integridad por otro medio (PDF firmado, firma PKCS7 separada, hash publicado), y tienes asimismo cubiertos los frentes de autenticación, confidencialidad, etc... en la medida que la información lo requiera, pues lo mismo resulta que no necesitas SSL. Todo depende de cada situación.

Otro asunto es que ese artículo 10.4 empieza diciendo "dispondrán de sistemas que permitan...". Creo que toda sede electrónica debe estar preparada para poder funcionar con SSL, al margen de que luego se use para todo o no.

cantimploro escribió: Si tú ya estás garantizando la integridad por otro medio (PDF firmado, firma PKCS7 separada, hash publicado), y tienes asimismo cubiertos los frentes de autenticación, confidencialidad, etc... en la medida que la información lo requiera, pues lo mismo resulta que no necesitas SSL. Todo depende de cada situación.

En mi opinión, la clave está en que en las relaciones con los ciudadanos es tan importante garantizar que verdaderamente estén relacionándose con la AP con la que creen estar en contacto y no con un impostor, como que los datos no sean alterados. Y para eso, me parece que la solución más sencilla es SSL.

En la mía también, pero eso es otra historia