Inicio>Certificados de correo en la aplicación MeSign

Certificados de correo en la aplicación MeSign

1. El estado del cifrado de correo electrónico

Los correos electrónicos en el protocolo MIME se encuentran sin cifrar, por lo que no son seguros, estos deben cifrarse mediante un certificado S/MIME, igual que el http, que para ser seguro tiene que ser cambiando a HTTPS. Sin embargo, el proceso de implementación y uso de certificados para el cifrado de correo electrónico puede ser tedioso, por eso S/MIME no es ampliamente utilizado. ¿Cómo se puede solucionar este problema? Para saber más consulta la solución de automatización de cifrado y firma digital de correo electrónico.

A lo largo de nuestros años de experiencia con clientes, descubrimos que la forma tradicional de implementar S/MIME es ineficiente, complicada y no proporciona una experiencia de usuario buena. Decidimos desarrollar un software de correo electrónico, la aplicación MeSign, haciendo que S/MIME sea fácil de usar y accesible para todos. Los certificados de correo se configuran automáticamente cuando el usuario inicia sesión en la aplicación, y se utilizan para cifrar el correo electrónico automáticamente. La aplicación MeSign es una herramienta que automatiza la solicitud, configuración uso y administración del certificado. Aunque originalmente estaba diseñado para no poder ver los certificados instalados en la aplicación, los usuarios pueden ver y usar sus certificados.

Es difícil cambiar la forma de actuar en usuarios que han estado usando sus propios certificados desde hace 20 años. Para ayudar a los usuarios a entender mejor nuestros certificados de correo, a continuación, explicamos las funciones y propósitos de los diferentes certificados utilizados en la aplicación MeSign.

2. Los diferentes certificados que se utilizan para el cifrado y firma digital en MeSign

En la actualidad, los certificados de correo electrónico S/MIME que venden las Autoridades de Certificación, son certificados únicos (.pfx /.p12). El uso del certificado incluye cifrado y firma digital; por lo que un mismo certificado se utiliza para ambos. Es de esta manera para poder intercambiar las claves públicas para el cifrar el correo y a la vez se envía el correo firmado para que las dos partes puedan utilizar la clave pública para cifrar.

Nuestro equipo de I+D descubrió que la administración de claves S/MIME y el intercambio es bastante complicado. Por ellos decidimos implementar la base de datos de claves en la nube, para que los usuarios puedan conseguir la clave que necesitan del destinatario para cifrar. Con esta solución, los usuarios pueden enviar y leer correos electrónicos cifrados tan fácilmente como correos normales, sin intercambiar las claves públicas por adelantado. El certificado de correo electrónico tradicional es un certificado único, por lo que la clave privada para firmar se guarda también en la nube, esto hace que sea mucho más inseguro y no se tiene un control de la firma.
¿Cómo se puede solucionar?

Nuestra solución es dividir el certificado de correo tradicional en dos certificados, uno es el certificado de firma y el otro es el certificado de cifrado. Las claves del certificado de cifrado se generan en la nube y se guardan de forma segura en la infraestructura de cifrado de MeSign. Las claves del certificado de cifrado se pueden recuperar automáticamente de la nube para cifrar o descifrar automáticamente los correos, siempre que se haya verificado que el usuario tiene derecho a usar estas claves. Con la aplicación MeSign, los usuarios pueden cifrar y descifrar automáticamente el correo, sin tener que solicitar e importar el certificado de correo manualmente en cada dispositivo. Cuando el usuario envía un correo cifrado, la aplicación MeSign recuperará automáticamente la clave pública del destinatario, de modo que los usuarios no necesiten intercambiar claves públicas por adelantado, por eso se puede cifrar y descifrar automáticamente. Dado que el certificado de firma contiene la información de identidad del usuario, la firma tiene efecto legal, por eso estos certificados se generan y guardan en el dispositivo local de forma segura. Cada dispositivo genera un nuevo certificado de firma al usar la aplicación MeSign, por eso el número de serie del certificado de firma es diferente en cada dispositivo que se use MeSign.

Adoptamos diferentes modos de administración de claves para los certificados de firma y cifrado basados en sus funciones y uso, lo que hace que S/MIME sea fácil de usar y accesible. Nuestra solución hace que no sea posible la falsificación y repudio de la firma del correo electrónico S/MIME, por lo que la convierte en una tecnología de cifrado de correo electrónico idónea. Hacemos que los certificados de correo y las claves de cifrado sean fáciles de administrar por parte de los usuarios, para que puedan enviar correos cifrados de forma automática tan fácil como enviar correos sin cifrar.

Hay tres tipos de certificados digitales utilizados en la aplicación MeSign:

  1. (1) Certificados digitales dobles, para firma y cifrado: se llaman certificados de correo electrónico y son compatibles con los certificados de confianza pública emitidos por las CAs.
  2. (2) Certificado de firma: se utiliza para la firma digital.
  3. (3) Certificado de cifrado: se utiliza para cifrar el correo.

Para el certificado de firma, si el usuario solo completa la validación de correo electrónico, se configurará automáticamente y se llama certificado de firma de correo electrónico o certificado de firma. Si el usuario ha completado la validación de identidad, el certificado configurado automáticamente se llama certificado de identidad. Para los usuarios con el plan personal, el certificado de firma que se configura automáticamente después de pasar la validación individual se llama certificado de identidad personal, anteriormente llamado certificado de firma V2. Para los usuarios de empresa, el certificado de firma que se configura automáticamente para todos los empleados, después de que la organización haya pasado la validación, se llama certificado de correo de la organización, anteriormente llamado certificado de firma V3. Y finalmente el certificado para los empleados que completan la validación de identidad se llama certificado de empleado de la organización, anteriormente llamado certificado de firma V4.

La tecnología MeSign ha creado para añadir valor al servicio de cifrado una marca de tiempo junto con la firma digital, por lo que también se utiliza un certificado de marca de tiempo.

La aplicación MeSign utiliza 7 tipos de certificados digitales: certificado de cifrado, certificado de firma, certificado de identidad personal, certificado de correo electrónico de la organización, certificado de empleado de la organización, certificado de correo Vp y certificado de firma de marca de tiempo. Los usos específicos de cada certificado se explican en detalle en la siguiente sección.

3. Diferentes usos de los certificados

3.1 Certificado de cifrado

Una vez el usuario ha configurado su cuenta de correo electrónico en la aplicación MeSign, se solicitará y configurará automáticamente un certificado de cifrado del sistema de emisión de certificados MeSign. De esta manera el usuario puede enviar inmediatamente correos cifrados y descifrar correos, sin solicitar un certificado a una Autoridad de Certificación. El certificado de cifrado valida la dirección de correo electrónico, y esta se vincula al certificado por lo que cada vez que se inicia sesión con tu cuenta en un nuevo dispositivo se utiliza el mismo certificado.

El usuario puede ver el certificado de cifrado en la aplicación MeSign en "Ajustes" - "Certificados”. Como se muestra en la imagen de la izquierda a continuación, hay un icono de candado de cifrado delante de la información del certificado. Haciendo clic en "Ver certificado", el usuario puede ver que el uso de la clave del certificado es "Cifrado de clave", lo que significa que el certificado se utilizará para el cifrado, como se muestra en la imagen 2 a continuación. Si el usuario lo ve en Windows, como se muestra en la imagen 3, el asunto del certificado solo muestra la dirección de correo electrónico y el uso de la clave es "Cifrado de clave (20)", como se muestra en la imagen 4.

3.2 Cuatro certificados de firma

(1) Certificado de firma

Una vez el usuario ha iniciado sesión en MeSign, la aplicación genera automáticamente un par de claves en el dispositivo y genera una solicitud para el certificado de firma al sistema de emisión de MeSign. Una vez el certificado se emite, MeSign lo configura automáticamente, para que el usuario pueda empezar a usar la firma digital inmediatamente. Este es el certificado de firma de MeSign para los usuarios con el plan gratis, validando el correo electrónico. Cada dispositivo donde se usa la misma cuenta de MeSign tendrá un certificado V1 diferente, para firmar, verificar la identidad y la comunicación cifrada en el sistema de la nube de MeSign.

El usuario puede ver el certificado de firma en la aplicación MeSign en "Ajustes" - "Certificado", como se puede ver en la imagen de la izquierda a continuación. Hay un icono de firma delante de la información del certificado, con el icono V1. Haciendo clic en "Ver certificado", el usuario puede ver que el uso de la clave del certificado es "Firma digital, no repudio", como se ve en la imagen 2. Si el usuario lo ve en Windows, como en la imagen 3, el asunto del certificado muestra la dirección de correo electrónico del usuario y el uso de la clave es "Firma digital, no repudio (c0)".

(2) Certificado de identidad personal

Si un usuario adquiere el plan Pro personal, la aplicación MeSign configura automáticamente el certificado de firma incluyendo la información de identidad con el nombre, ciudad, provincia y país. Lo llamamos certificado de identidad personal, con el icono V2 como se ve en la imagen a continuación.

(3) Certificado de correo de la organización

Los usuarios que hayan adquirido el plan Pro de empresa, la aplicación MeSign configura automáticamente el certificado de firma con el nombre de la empresa, ciudad, provincia y país para todos los trabajadores. Este certificado se llama certificado de correo de la organización y utiliza el icono V3, el número de empleados es ilimitado. El administrador deberá validar el dominio de correo de la empresa, como se puede ver a continuación.

(4) Certificado de empleado de la organización

Los usuarios que hayan adquirido el plan Pro de empresa, incluye 10 certificados de empleado. Estos deben pasar la validación de identidad con MeSign y se les configurará automáticamente este certificado con su nombre, puesto, empresa, ciudad, provincia y país. Se llama certificado de empleado de la organización y utiliza el icono V4 como se ve a continuación.

Se debe de validar la identidad del empleado para que se garantice y verifique la identidad real del empleado, con la validación de la empresa no se puede saber la identidad real del empleado. Una vez el empleado ha sido validado, MeSign configura automáticamente el certificado de empleado de la organización y utilizará por defecto este certificado para firmar los correos. Cuando el destinatario reciba el correo podrá ver el nombre del empleado y su puesto debajo de la dirección de correo en la aplicación MeSign. Esto mejora la seguridad y la confianza sobre la identidad del remitente. Como se puede ver en las imágenes a continuación, las diferencias entre el certificado de la organización primero y a continuación es el certificado de empleado de la organización.

3.3 Certificado de correo VP

El certificado de cifrado y firma mencionados anteriormente son solo de confianza por MeSign, si un usuario que utiliza otro programa de correo recibe un correo firmado con el certificado V1,V2,V3 o V4, se notificará que la firma no es válida, por lo que se dudará de la identidad del remitente.

Por ello, la tecnología MeSign colabora con la Autoridad de Certificación Sectigo lanzando un certificado de raíz de confianza pública, el certificado VP. La validación de identidad es la misma que en la versión gratuita, por lo que solo se valida el correo electrónico. Como se puede ver en la imagen 1, MeSign utiliza el icono VP para este certificado, que se configura como predeterminado para el cifrado y firma. Como se ve en la imagen 2, es la cadena del certificado VP. En la imagen 3 es la información detallada del certificado. El certificado VP es uno solo e incluye firma y cifrado como se ve en la imagen 4.

3.4 Certificados dobles V1, V2, V3, V4 y VP

Los usuarios pueden obtener automáticamente un certificado VP comprando el plan Starter o el plan Pro. La aplicación lo configurará automáticamente como predeterminado para firma y cifrado, también los combinará juntos el certificado VP con el certificado de firma de MeSign que contiene la información de identidad. De esta manera se puede firmar digitalmente con confianza y identidad real, todos los correos.

Como se ve en la imagen a continuación, cuando un usuario recibe un correo firmado y cifrado de otro usuario, se valida la identidad firmada con el certificado V2, V3 o V4 y se muestra en el correo. Si el destinatario usa un programa diferente como Outlook, la identidad con el certificado VP es validada y la firma digital es de confianza, como se puede ver en la imagen 2. Esta solución de MeSign resuelve el problema de los correos firmados por MeSign que no eran de confianza, también se consigue identificar al remitente y evitar cualquier fraude.

La firma doble implementada con los 4 certificados de firma, más el certificado VP se muestra de la siguiente manera. Si el usuario adquiere el plan Starter se mostrará con el icono VP y “correo validado, identidad no validada, firma digital de confianza pública”. Si el usuario adquiere el plan Pro se mostrará con los iconos V2 y Vp, con el nombre completo del usuario y “identidad validada y de confianza pública”.

Si el usuario adquiere el plan Pro empresa, como se ve en la imagen a continuación, se mostrará con el icono V3 y Vp, más el nombre de la empresa y “identidad validada y de confianza pública”. Si el usuario ha pasado la validación de identidad como un empleado de la empresa, se mostrará con el icono V4 y Vp, el nombre del trabajador, empresa y “identidad validada y de confianza pública” como se ve en la imagen 2.

Por las imágenes mostradas anteriormente, se entiende por qué es necesario un certificado de firma con la validación de la identidad, aunque tengan un certificado VP de confianza pública. Este certificado solo valida la dirección de correo del usuario y no la identidad por lo que no se evita cualquier problema o fraude. Por ello es importante añadir el certificado de identidad para verificar la identidad y mejorar la confianza online. MeSign adopta la tecnología del certificado doble para garantizar la firma digital y la identidad del usuario.

3.5 Certificado de marca de tiempo

MeSign siendo pioneros ha desarrollado una marca de tiempo utilizando el estándar internacional RFC3161 para incluir la información de la hora y fecha en el correo firmado digitalmente. La aplicación MeSign utiliza el icono para incluir la marca de tiempo al correo, como se ve en la imagen a continuación, demuestra que el tiempo de envío del correo no es del ordenador del destinatario o del servidor, si no del servicio de marca de tiempo de MeSign. Esta marca de tiempo se puede utilizar para temas legales ya que no se puede manipular. Haciendo clic en el icono, la información de la marca de tiempo se mostrará, como se ve en las imágenes a continuación. El certificado de marca de tiempo esta emitido por la Autoridad de Certificación MeSign.


4. Resumen

Nuestro objetivo es que el usuario no tenga que preocuparse por los certificados de cifrado y firma, ya que MeSign se ocupa de ello, para que el usuario pueda simplemente enviar correos electrónicos cifrados. La finalidad es el cifrado de correo electrónico, no el certificado.

Para empezar a cifrar, solo tienes que descargar e instalar la aplicación MeSign, iniciar sesión con tu cuenta y pinchar en “Redactar” para enviar correos cifrados y firmados digitalmente, es así de sencillo.