Resumen
: En esta parte se establecen reglas que regirán la práctica de las autoridades certificantes acreditadas, específicamente reglas para la emisión, suspensión y revocación de certificados, los registros que vinculan un par de claves de firma digital a una persona, empresa o entidad comercial identificada por una autoridad de certificación. También se prohíben las declaraciones inexactas en los certificados, y se exige que el suscriptor mantenga el carácter confidencial de la clave privada. Asimismo, se limita la responsabilidad de la autoridad certificante hasta el límite de confianza recomendado que se especifica en el certificado pertinente.La autoridad certificante o el suscriptor debe utilizar únicamente un sistema confiable:
1. Para emitir, suspender o revocar un certificado;
2. Para publicar o notificar la emisión, suspensión o revocación de un certificado, o
3. Para crear una clave privada.
La autoridad certificante acreditada dará a publicidad toda declaración de procedimientos significativa, y todo hecho pertinente a la confiabilidad de un certificado emitido o a su capacidad de cumplir con su finalidad. Para efectuar la publicidad, la autoridad certificante puede requerir que se le haga un pedido escrito, razonablemente específico y firmado por una persona identificada, además del pago de un razonable arancel.
La norma 3.1 exige que las autoridades certificantes utilicen sistemas confiables. Dice así:
Seguridad: En la prestación de sus servicios, la autoridad certificante debe utilizar sistemas confiables.
La Guía 3.2 de la ABA respecto a la publicidad es sustancialmente igual a la subsección (2) de esta sección. La Guía ABA ? requiere el uso de un sistema confiable para generar un par de claves.
La autoridad certificante puede emitir un certificado a un suscriptor sólo si previamente se cumplen las siguientes condiciones:
1. La Autoridad Certificante ha recibido un requerimiento de emisión firmado por quien será el suscriptor; y
2. La Autoridad Certificante ha confirmado que:
1. el eventual suscriptor es la persona cuyo nombre figurará en el certificado a emitirse;
2. Si el eventual suscriptor actúa a través de uno o más representantes, que los haya autorizado debidamente a tener la custodia de su clave privada y a requerir la emisión de un certificado donde aparezca mencionada la correspondiente clave pública;
3. información que aparece en el certificado es fidedigna;
4. el eventual suscriptor posee legalmente 3. la la clave privada correspondiente a la clave pública mencionada en el certificado;
5. el eventual suscriptor posee una clave privada capaz de crear una firma digital, y
6. la clave pública a mencionarse en el certificado pueda utilizarse para verificar una firma digital generada por la clave privada que tiene el eventual suscriptor.
Los requisitos exigidos en el presente apartado son irrenunciables para la autoridad certificante acreeditada, el suscriptor o ambos, según sea el caso.
Si el suscriptor acepta el certificado emitido, la autoridad certificante publicará una copia firmada del mismo en un repositorio reconocido, salvo que las partes estipulen lo contrario. Si el suscriptor no acepta el certificado, la autoridad certificante acreditada no lo publicará, o bien cancelará su publicación si ya hubiese sido publicado.
Los términos del presente artículo no impiden que la autoridad certificante acreditada se rija por normas, procedimientos de certificación, planes de seguridad o requisitos contractuales más rigurosos, pero coherentes con el presente capítulo.
Luego de emitido un certificado, la autoridad certificante puede revocarlo de inmediato si constata que no lo emitió conforme a los términos de el presente artículo. También puede suspender un certificado por un período razonable que no exceda las 48 horas para que, mediante una investigación, se confirme que existen fundamentos para revocarlo conforme al presente apartado. Cuando la autoridad certificante revoque o suspenda un certificado conforme a este apartado, notificará de inmediato al suscriptor.
La División puede ordenar a la autoridad certificante acreditada la suspención o revocación de un certificado emitido por esta última si, luego de notificar debidamente a la autoridad certificante y al suscriptor y haberles otorgado la oportunidad de ser escuchados de acuerdo con la Ley de Procedimientos Administrativos, título 63, capítulo 46b, la División determinara que:
1. El certificado fue emitido sin cumplir substancialmente con las pautas de la presente sección, y
2. Si dicho incumplimiento implica un riesgo importante para personas que puedan
confiar razonablemente en tal certificado.
Si se determina que, dada la urgencia, hace falta una solución inmediata conforme lo estipula la Ley de Procedimientos Administrativos, la División puede ella misma suspender un certificado por un período que no exceda las 48 horas.
El presente artículo contiene los requisitos mínimos para la emisión de un certificado, función primordial de una autoridad certificante.
La publicación por lo general viene a continuación de la emisión, pero no es necesaria para que el certificado sea efectivo. El apartado (2) requiere la publicación sólo si un contrato no estipula lo contrario.
La norma ? requiere el consentimiento previo del eventual suscriptor para la emisión de un certificado. La norma 3.8 estipula que, al emitir un certificado, la autoridad certificante está declarando que ha comprobado ciertos hechos.
Mediante la emisión de un certificado, la autoridad certificante acreditada garantiza al suscriptor cuyo nombre figura en el certificado que:
1. el certificado no contiene información que a juicio de la autoridad certificante es falsa;
2. el certificado cumple con todos los requisitos pertinentes del presente capítulo, y
3. no se ha excedido en sus funciones específicas al emitir tal certificado.
La autoridad certificante no puede deslindar responsabilidades ni limitar las garantías previstas por este apartado.
A menos que el suscriptor y la autoridad certificante convengan lo contrario, al emitir un certificado la autoridad promete al suscriptor:
1. Actuar de inmediato para suspender o revocar un certificado de conformidad con las secciones 306 ó 307, y
2. Notificar al suscriptor en tiempo razonable de cualquier hecho sobre el cual tenga conocimiento y que pueda afectar significativamente la validez o confiabilidad del certificado, luego de ser éste emitido.
Al emitir un certificado, la autoridad cerficante autorizada certifica ante todos aquellos que confían razonablemente en la información contenida en el certificado que:
1. la información contenida en el certificado, que aparece como confirmada por la autoridad certificante autorizada, es válida;
2. toda la información significativa a los fines de la confiabilidad del certificado se halla mencionada o referenciada dentro del certificado;
3. el suscriptor ha aceptado el certificado, y que
4. la autoridad certificante ha cumplido con todas las leyes aplicables de este Estado relativas a la emisión del certificado.
Al publicar un certificado, la autoridad certificante autorizada certifica al repositorio en el cual éste se publica, y a todos los que razonablemente confían en la información contenida en el certificado, que ha emitido el certificado al suscriptor.
El presente artículo establece, para beneficio del suscriptor y de las personas que confíen en el certificado, la obligación que le cabe a la autoridad certificante autorizada de cumplir con los requisitos de emisión que establece el artículo 302. También requiere que todos los certificados publicados sean previamente emitidos, de modo que se apliquen a ellos las obligaciones producidas por la emisión.
La norma 3.8 es substancialmente la misma que el apartado (1) de el presente artículo.
Por el hecho de aceptar un certificado emanado de autoridad certificante acreditada, el suscriptor cuyo nombre figura en él garantiza a todos los que razonablemente confíen en la información allí contenida que:
1. posee legalmente la clave privada correspondiente a la clave pública mencionada en el certificado;
2. todas las declaraciones hechas por él a la autoridad certificante, relativas a la información del certificado, son verdaderas;
3. todas las declaraciones significativas hechas a la autoridad certificante, o hechas en el certificado y no confirmadas por la autoridad certificante al emitir el certificado, son verdaderas.
Al solicitar, en nombre de un mandante, la emisión de un certificado donde figure el mandante como suscriptor, el solicitante certifica, en nombre del mandante a todos aquellos que confían razonablemente en la información contenida en el certificado que le solicitante:
1 . tiene la autoridad legal requerida para solicitar la emisión de un certificado donde figure su mandato como suscriptor, y
2. tiene mandato para firmar digitalmente en nombre de su mandante y, si dicho mandato fuere limitado de alguna manera, que existen los adecuados resguardos para impedir que una firma digital exceda los límites del mandato otorgado.
Ninguna persona puede negar ni desconocer contractualmente la aplicación de este artículo, como tampoco obtener indemnización por sus efectos, si la negación, limitación o indemnización restringiera la responsabilidad por declaraciones inexactas frente a personas que razonablemente confíen en el certificado.
Al aceptar un certificado, el suscriptor se compromete a indemnizar a la autoridad certificante por daños y perjuicios en la emisión o publicación de un certificado, en base a:
1. Una declaración falsa y significativa realizada por el suscriptor; o bien
2. Un hecho significativo no revelado por el suscriptor;
si la falsedad o la no revelación se hubiesen hecho con la intención de engañar a la autoridad certificante o persona que confíe en el certificado, o con negligencia. Si la autoridad certificante emitió el certificado a pedido de uno o más representantes del suscriptor, dichos representantes asumen personalmente la obligación de indemnizar a la autoridad conforme a este apartado, como si fueran ellos los suscriptores que aceptan el certificado por propio derecho. No se puede renunciar a la indemnización que prevé este apartado ni limitar contractualmente su alcance; sin embargo, mediante un contrato se pueden prever términos adicionales, compatibles con esta indemnización.
Al obtener información del suscriptor pertinente a la emisión de un certificado, la autoridad certificante puede requerirle al suscriptor que certifique la veracidad de dicha información bajo juramento, so pena de iniciar procedimientos penales por haber suscripto declaraciones juradas falsas.
La norma 4.2 relativa a las declaraciones del suscriptor son comparables a las de este apartado.
Al aceptar un certificado emitido de una autoridad certificante autorizada, el suscriptor cuyo nombre figura en él asume la obligación de procurar razonablemente mantener el control de la clave privada e impedir su divulgación a persona alguna no autorizada para crear la firma digital del suscriptor.
La clave privada es propiedad personal del suscriptor que la posee legalmente.
Si una autoridad certificante posee la clave privada correspondiente a la clave pública mencionada en el certificado por ella emitido, lo hace en calidad de representante del suscriptor mencionado en el certificado, y sólo puede usar la clave privada con el previo consentimiento escrito del suscriptor, a menos que el suscriptor le otorgue expresamente su clave privada o permita a la autoridad certificante su uso según otros términos.
La Comisión Legislativa de Facilitación (Asistencia?) de Utah analizó las siguientes alternativas antes de recomendar a la Legislatura la aprobación de un estándar de negligencia:
Alternativa A: Responsabilidad estricta
Al aceptar un certificado emanado de una autoridad certificante autorizada, el suscriptor a cuyo nombre se extiende el certificado asume la obligación de retener el control de la clave privada e impedir su divulgación a persona alguna no autorizada para generar su firma digital. El suscriptor será responsable sin tener en cuenta la falta por una violación a dicha obligación.
Alternativa B: Diligencia
Al aceptar un certificado emanado de autoridad certificante acreditada, el suscriptor a cuyo nombre aparece en el certificado asume la obligación de retener control de la clave privada e impedir su divulgación a persona alguna no autorizada para generar la firma digital del suscriptor. El suscriptor será responsable sin tener en cuenta la falta por una violación a dicha obligación (y no será responsable por una violación??), salvo que en uno de los siguientes casos que, si son acreditados por el suscriptor constituirán eximentes contra la responsabilidad que establece este artículo:
1. Un intruso descubrió la clave privada obteniendo acceso a un sistema informático utilizado por el suscriptor, pese a haberse tomado las razonables precauciones de seguridad que suelen tomarse con el sistema de computación, o bien,
2. Obrando con diligencia, el suscriptor no podría haber salvaguardado la clave privada de manera tal de impedir una pérdida significativa del control sobre dicha clave.
Alternativa C: Negligencia para los consumidores, diligencia para terceros.
Al aceptar un certificado emitido por autoridad certificante acreditada, ell suscriptor cuyo nombre figura en el certificado asume la obligación de preocuparse razonablemente por mantener el control de la clave privada e impedir su divulgación a persona alguna no autorizada a usarla, si el certificado se limita nominalmente a uso personal, de la familia o el hogar. De lo contrario, si el certificado no se limitara nominalmente a uso personal, familiar o del hogar, el suscriptor a cuyo nombre se expidió el certificado asume la obligación de mantener control de la clave privada e impedir su divulgación a persona alguna que no esté autorizada a crear la firma digital del suscriptor, y será responsable por una violación de dicha obligación, a menos que pueda demostrar que:
1. Un intruso descubrió la clave privada obteniendo acceso a un sistema informático utilizado por el suscriptor, pese a haberse adoptado las medidas de seguridad razonables que suelen tomarse con el sistema de computación, o bien,
2. Obrando con diligencia, el suscriptor no podría haber salvaguardado la clave privada de manera tal que le impidiera perder el control material de dicha clave.
apartado (2) aclara que la clave privada es propiedad del suscriptor que la posee legalmente. En El consecuencia, la persona que la obtiene sin autorización podría ser responsable civilmente por apropiación ilícita o por ingreso ilegal, o bien según las leyes penales que prohíben el robo.
El apartado (3) rige tanto para las autoridades certificantes acreditadas como no acreditadas comprendidas dentro de la jurisdicción de Utah.
La norma 4.3 que exige al suscriptor salvaguardar la clave privada es substancialmente similar a este artículo. Véase también la norma 1.12, especialmente el comentario 1.12.1 (la clave privada como propiedad del suscriptor) y la norma ? (la autoridad certificante como fiduciario cuando tiene la clave privada del suscriptor).
Salvo que la autoridad certificante y el suscriptor convengan lo contrario, la autoridad certificante autorizada que emitió el certificado que no sea un certificado transaccional puede suspenderlo por un lapso que no exceda las 48 horas:
1. A pedido de una persona que se identifique como el suscriptor cuyo nombre aparece en el certificado, o una persona que se encuentre en una posicióntal que le permita saber que se ha comprometido la seguridad de la clave privada de algún suscriptor, como por ejemplo, un representante suyo, socio comercial, empleado o familiar inmediato, o bien
2. Por orden de la División conforme a lo que dispone el apartado 302(5).
La autoridad certificante no necesita confirmar la identidad o el mandato de la persona que solicita la suspensión.
A menos que el certificado especifique lo contrario, o que se trate de un certificado transaccional, la División, un tribunal o un secretario de condado puede suspender por 48 horas un certificado emitido por una autoridad certificante acreditada si:
1. una persona que se identifique como el suscriptor a cuyo nombre se emitió el certificado, o como un representante suyo, socio comercial, empleado o familiar inmediato suyo, solicita la suspensión, y
2. el solicitante declara que es imposible dar con la autoridad que emitió el certificado.
La División, un tribunal o el secretario de condado pueden exigir al solicitante que requiere la suspensión, que demuestre fehacientemente, incluso bajo declaración jurada, su identidad, la autorización y/o la indisponibilidad de la autoridad certificante, y puede negarse a efectuar la suspensión a su arbitrio. La División y/o entidades de fuerza pública pueden investigar las suspensiones ordenadas por la División o un tribunal o los secretarios de condado por posible acto ilícito que pueda haber cometido la persona que solicitó la suspensión.
Inmediatamente después de producida la suspensión de un certificado, la autoridad certificante autorizada publicará un aviso firmado de la suspensión en el repositorio que menciona el certificado, donde se deben publicar los avisos de suspensión. Si se mencionara más de un repositorio, lo publicará en todos ellos. Si alguno de tales repositorios no existiera más o se negara a aceptar la publicación, o si no se reconoce ningún repositorio conforme a lo que dispone el artículo 501 del presente capítulo, la autoridad certificante publicará la suspensión en algún otro repositorio reconocido. Si el certificado fuese suspendido por la División o por tribunal o por un secretario de condado, la División, el tribunal o el secretario efectuarán la notificación, siempre y cuando la persona que solicite la suspensión abone por adelantado el arancel que exija el repositorio para dicha publicación.
Una autoridad certificante levantará una suspensión solicitada sólo si:
1. el suscriptor nombrado en el certificado suspendido solicita el levantamiento de la suspensión, si la autoridad certificante confirmó que el solicitante es el suscriptor o un representante suyo autorizado a levantar la suspensión, o bien
2. la autoridad certificante descubre y confirma que el pedido de suspensión se realizó sin autorización del suscriptor, siempre y cuando este apartado no exija que la autoridad certificante debe confirmar un pedido de suspensión
El contrato entre suscriptor y autoridad certificante acreditada puede limitar o prohibir la suspensión solicitada por la autoridad certificante, o bien puede establecer otra forma de levantar una suspensión solicitada. Sin embargo, si el contrato limita o impide la suspensión por parte de la División o de tribunal o de un secretario de condado cuando no se dispone de autoridad certificante, la limitación o prohibición será efectiva sólo si se informa de ella en el certificado.
Ninguna persona puede, a sabiendas o intencionalmente, declarar en forma inexacta ante una autoridad certificante su identidad o su autorización para solicitar la suspensión de un certificado. Toda violación a este apartado se considerará una contravención de clase B (contravención o delito menor).
Durante el lapso que el certificado esté suspendido, el suscriptor queda relevado de su obligación de mantener confidencial la clave privada, de conformidad con lo establecido en el apartado 305(1).
El presente artículo establece suspensiones, lo cual indica que un certificado despierta sospechas porque la clave privada puede haber resultado comprometida, o por otras razones que afecten su confiabilidad. Dado que la suspensión libera temporariamente al suscriptor de su responsabilidad de resguardar la clave privada, el receptor de la firma digital correría un riesgo de pérdida debido a falsificación si confiara en una firma verificada cotejándola con un certificado suspendido.
Los incisos (1), (2), (4), (5) y (6) rigen sólo para las suspensiones a pedido. Sin embargo, los incisos (3) y (7) rigen para todas, con independencia de que las solicite el suscriptor o un representante suyo. Específicamente, los incisos (3) y (7) se aplican a las suspensiones conforme a los arts. 302(4) y 302(5).
Si bien el suscriptor de un certificado suspendido queda temporariamente liberado de la obligación de resguardar la clave privada, sería aconsejable que no comprometiera dicha clave ni aumentara en lo posible un compromiso existente, puesto que el certificado recuperará validez a menos que, mientras esté suspendido, se lo revoque.
La norma 3.11 es comparable a este artículo, y dice así:
Suspensión del certificado a pedido del suscriptor
Salvo que la autoridad certificante y el suscriptor estipulen lo contrario por contrato, la autoridad certificante debe suspender cuanto antes un certificado si así se lo solicita una persona a la que la autoridad certificante considere que es:
1. el suscriptor cuyo nombre figura en el certificado;
2. una persona debidamente autorizada por éste para actuar en su nombre, o
bien
3. una persona que actúa en nombre del suscriptor, que no está disponible.
(Pág. 14)
Véase también la norma 3.13, que contempla la suspensión sin que medie un pedido.
Una autoridad certificante autorizada revocará un certificado que emitió, siempre que no sea un certificado transaccional, después de:
1. recibir una solicitud de revocación de parte del suscriptor mencionado en el certificado; y
2. confirmar que la persona que solicita la revocación es el suscriptor o es un mandatario del suscriptor con autoridad para requerir la revocación.
La autoridad certificante autorizada confirmará un pedido de revocación, y revocará un certificado en el término de un día hábil cuando reciba un pedido escrito del suscriptor y tenga muestras suficientes para confirmar la identidad o representación del solicitante.
La autoridad certificante autorizada revocará un certificado por ella emitido en caso de:
1. Recibir una copia legalizada de la partida de defunción del suscripto, o de confirmar por algún otro medio que el suscriptor ha fallecido, o
2. Recibir documentos causantes de la disolución del suscriptor, o bien al confirmar por algún otro medio que el suscriptor se disolvió o dejó de existir.
La autoridad certificante puede revocar uno o más certificados por ella emitidos si fueran o llegaran a ser no confiables, con independencia de que el suscriptor consienta o no la disolución, y pese a lo que pueda establecer cualquier disposición en contrario acordada mediante contrato entre el suscriptor y la autoridad certificante autorizada.
Ni bien la autoridad certificante revoca un certificado, debe publicar una notificación firmada de la revocación en el repositorio que menciona el certificado. Si figurara más de uno, la publicación deberá hacerse en todos ellos. Si el repositorio allí mencionado no existiera más o se negara a aceptar la publicación, o si no estuviera reconocido conforme lo establece el art. 501 de este capítulo, la autoridad certificante publicará la notificación en otro repositorio reconocido.
El suscriptor deja de certificar según lo establece el art. 304, y cesa su obligación de resguardar la clave privada tal como lo exige el art. 305 en relación con un certificado cuya revocación ha solicitado el suscriptor, desde
1. la fecha de publicación de la notificación de revocación según lo exige el apartado (5) del presente artículo, o bien
2. dos días hábiles después de que el suscripto solicite por escrito la revocación, brinde a la autoridad certificante información suficiente para confirmar el pedido y abone el arancel estipulado por contrato,
lo primero que ocurra.
Luego de producida la notificación requerida en el apartado 5 de este artículo, una Autoridad Certificante Autorizada es liberada de su responsabilidad emanada de la emisión del certificado revocado y deja de certificar según lo previsto en los apartados 303 (2) y 303 (3) respecto del certificado revocado.
La revocación del certificado de un suscriptor invalida en forma permanente el certificado desde la fecha de la revocación. La principal función del certificado es servir de vínculo entre el suscriptor y la clave pública, e indirectamente entre el suscriptor y el par completo de claves, inclusive la clave privada usada para crear firmas digitales. Salvo que medie una declaración, otro certificado aún válido u otro hecho continúe identificando al suscriptor con el par de claves (véanse Normas ABA, c omentario 5.3.3), la revocación anula la capacidad del suscriptor de producir firmas digitales basadas en el par de claves descriptas en el certificado por su clave pública.
Los incisos (5), (6) y (7) rigen con independencia de que la revocación se haya solicitado conforme al presente apartado (1).
c. Aranceles para las revocaciones solicitadas
Determinar si la autoridad certificante debería cobrar un arancel como condición previa para efectuar una revocación es un tema difícil. Si se le prohíbe cobrar un arancel, tendrá que recuperar el costo de posibles revocaciones recurriendo a otras fuentes, como por ejemplo, cobrando por emitir los certificados; en tal caso, todos los suscriptores soportarían el costo de aquéllos cuyos certificados es preciso revocar. Por otra parte, permitir que la autoridad certificante perciba un arancel antes de revocar un certificado permitiría que las personas que ocasionan el problema soporten el costo de resolverlo. Sin embargo, el hecho de permitir que la autoridad cobre el arancel también puede dilatar o impedir la necesaria revocación, lo cual pondría en peligro el interés de las personas que confían en las firmas digitales, aunque la autoridad tenga un elemento disuasivo para no involucrarse en disputas con ellas.
Al cabo de largas discusiones sobre este tema en ocasión de tratar la redacción de este artículo, el Comité de Seguridad de Información del American Bar Association decidió eliminar una frase que expresamente autorizaba a la autoridad certificante a cobrar un arancel por revocaciones. No obstante, el Comité no incluyó medida alguna que impida a la autoridad y al suscriptor convenir un arancel por contrato. Así, este artículo no establece un arancel, si es el que rige, pero si fue reemplazado pon un contrato válido entre las partes, podría exigirse el pago de un arancel. Sin embargo, aun cuando la autoridad certificante esté contractualmente autorizada a percibir un arancel, sería conveniente que no insistiera en percibirlo antes de revocar un certificado, si existe motivo suficiente para su revocación, porque de lo contrario correría el riesgo de entrar en litigio con personas que confían en un certificado con deficiencias en su capacidad de crear firmas digitales.
La norma 3.12 relativa a la revocación por pedido es comparable con el presente artículo. Dice su texto:
Revocación de certificados a pedido del suscriptor
La autoridad certificante que emitió un certificado debe revocarlo a pedido del suscriptor cuyo nombre figura en dicho certificado si la autoridad certificante comprueba:
1. Que la persona que solicita la revocación es el suscriptor a nombre de quien está extendido el certificado a ser revocado, y
2. Que el solicitante actúa en calidad de representante y tiene autoridad suficiente para efectuar la revocación.
La norma 3.13 hace referencia a las revocaciones no solicitadas, conforme al apartado (4). Dice así: Revocación o suspensión sin consentimiento del suscriptor. La autoridad certificante debe suspender o revocar un certificado, aunque no se cuente con el consentimiento del suscriptor cuyo nombre figura en él, si la autoridad certificante confirma que:
(1) un dato sustancial del certificado es falso; o
(2) no se cumplió algún requisito relevante a la emisión del certificado, o
(3) que la clave privada o sistema confiable de la autoridad resultó comprometido de algún modo que pudiera afectar substancialmente la confiabilidad del certificado.
Al efectuarse dicha suspensión o revocación, la autoridad debe notificar de inmediato al suscriptor mencionado en el certificado.
El certificado deberá indicar su fecha de vencimiento, que no excederá los tres años posteriores a su emisión, salvo que el certificado especifique que tendrá una vigencia superior.
Cuando vence un certificado, el suscriptor y la autoridad certificante dejan de certificar según lo dispone este capítulo, y la autoridad certificante queda relevada de sus obligaciones provenientes de la emisión, en relación con el certificado que ha expirado.
La vigencia de los pares de claves, y de los certificados en ellas basadas, debería limitarse por dos razones: 1) que el hecho de acumular grandes cantidades de datos cifrados facilita el "criptoanálisis" (es decir, que se "descubra" ilícitamente el par de claves o la firma digital), y 2) que el hecho de cambiar el par de claves reduce los daños que causaría cada violación individual a la seguridad del par de claves, sea mediante "criptoanálisis" o cualquier otro medio.
El presente artículo fija una vigencia máxima de tres años, salvo que el certificado especifique una duración mayor. Véase Warwick Ford, Computer Communications Security: Principles, Standard Protocols & Techniques 85 (1994). Un lapso demasiado prolongado puede despertar dudas sobre lo razonable o no de confiar en un certificado al verificar una firma digital creada mucho tiempo después de haber entrado en vigencia el certificado.
(Pág. 16)
La norma 3.9 requiere que el certificado detalle las fechas de vigencia y de vencimiento. En tal sentido, dice:
El certificado contiene las fechas de vigencia y de vencimiento
La autoridad certificante que emite un certificado debe indicar en él la fecha y hora en que el certificado entra en vigencia y el vencimiento.
La norma 1.32 (que define el "certificado válido") especifica que un certificado que ha vencido no es válido, y por ende, de poco o nada sirve a los fines del Título 5 de las Normas, que establece el cumplimiento de requisitos en cuanto a la firma, a la escritura y el original, y ciertas presunciones.
Al especificar en un certificado un límite de confianza, la autoridad que lo emitió y el suscriptor que lo acepta recomiendan que las personas confíen en él en tanto y en cuanto el monto en juego no exceda el límite de confianza recomendado.
Salvo que la autoridad certificante renuncie a la aplicación del presente apartado, se considerará:
1. Que no será responsable por pérdidas causadas por haberse confiado en una firma falsa o fraguada de un suscriptor si, con respecto a dicha firma, la autoridad hubiera cumplido con todos los requisitos pertinentes establecidos en el presente capítulo;
2. Que no será responsable por un monto mayor al que se menciona en el certificado como límite recomendado de confianza en caso de:
1. una pérdida causada por haber confiado en una dato falso contenido en el certificado que a la autoridad certificante se le requiera confirmar, o
2. incumplimiento con el art. 302 en la emisión del certificado;
3. Será responsable sólo por daños directos emergentes de una acción promovida por resarcimiento de daños debido a haber confiado en el certificado.
Los daños directos compensatorios no incluyen:
1. daños ejemplares o punitivos;
2. daños por lucro cesante, ahorros u oportunidad, ni
3. daños físicos y morales.
Este artículo aclara la responsabilidad y riesgo de responsabilidad que recae sobre la autoridad certificante. Al igual que como ocurre con cualquier otra empresa comercial, la autoridad certificante debe ser capaz de evaluar y manejar su riesgo frente a una posible responsabilidad, y uno de los principales elementos que han impedido el surgimiento de autoridades certificantes es la incertidumbre respecto de los riesgos legales que dicha actividad traería aparejados.
El apartado (2) de este artículo excluye sólo la responsabilidad basada en la confianza en una firma digital o un certificado. No rige para los casos en que la autoridad certificante viole un contrato u obligación fiduciaria respecto del suscriptor o de cualquier otra persona.
La autoridad certificante puede eximirse de la responsabilidad que establece el presente artículo.
Un límite de confianza recomendado es, en efecto, una declaración manifestando que la confianza que se tenga a cierto certificado será razonable, desde el punto de vista de la autoridad, si no excede el monto especificado. La autoridad certificante se halla en una posición sumamente ventajosa para evaluar la confiabilidad del certificado que emite.
Si la ley aplicable a un conflicto no incluye el apartado (2)(1) u otra norma similar aplicable, el efecto del límite de confianza recomendado probablemente dependerá de la ley de declaración falsa u errónea realizada en virtud de culpa o negligencia.
Al especificar un límite recomendado de confianza en un certificado, la Autoridad Certificante notifica que tiene una confianza limitada. Una confianza superior a dicho límite no es razonable.
Salvo en lo específicamente establecido por el apartado (2)©, la presente ley no aborda el tema de si se pueden reclamar daños indirectos en una acción contra una autoridad certificante, sino que más bien deja el tema para la jurisprudencia. Véase, por ejemplo, Evra Corp. c/ Swiss Bank Corp., 673F.2d 951 (7° Cir. 1982); Central Coordinates, Inc. c/ Morgan Guaranty Trust Co., 40 U.C.C. Rep. Serv. 1340 (Ct. Sup. N.Y. 1985).
(Pág. 17)
Además de los límites de responsabilidad establecidos en este artículo sobre la autoridad certificante, pueden existir otros. Por ejemplo, si la autoridad certificante es un organismo gubernamental, la inmunidad del estado puede limitar su responsabilidad.
Con respecto a cualquier límite recomendado de confianza, ver norma 5.3 (razonabilidad de la confianza en las declaraciones de un certificado). En relación con el resguardo (exención prevista en una ley) que establece el apartado (2)(a) del presente artículo, ver norma 3.16.
Pese a cualquier disposición en contrario que pueda contener la garantía,
1. Si la garantía es una fianza, la persona puede recuperar el monto total de un derecho limitado de pago contra el obligado principal que figura en la fianza, y si hay más de uno de tales derechos limitados de pago durante la vigencia de la fianza, una participación proporcional, hasta un máximo equivalente al monto de la fianza, o bien
2. Si la garantía es una carta de crédito, una persona puede recuperar de la institución financiera emisora el monto total de un derecho limitado de pago contra el cliente cuyo nombre figura en la carta de crédito. Si hubiere más de un derecho limitado de pago durante la vigencia de la carta de crédito, una participación proporcional, hasta una responsabilidad máxima del emisor equivalente al monto del crédito.
Los reclamantes pueden recuperar (cobrar??) sucesivamente de la misma garantía, siempre y cuando la responsabilidad total frente a todas las personas que esgriman derechos limitados de pago durante su vigencia no exceda del monto de la garantía.
Además de recuperar el monto de un derecho limitado de pago, el reclamante puede recuperar del producido de la garantía, hasta que se agote, una suma razonable en concepto de honorarios de abogados, y las costas judiciales en que hubiera incurrido para percibir el reclamo, siempre y cuando la responsabilidad total que figure en la garantía para todas las personas que esgriman derechos limitados de pago o que recuperen honorarios para abogados no exceda el monto total de la garantía.
Para recuperar un derecho limitado de pago contra un fiador o emisor de garantía, el reclamante deberá:
1. Notificar por escrito a la División consignando su propio nombre y domicilio, la suma reclamada y los fundamentos para el pago, y cualquier otra información que requiriera las normas de la División, y
2. Adjuntar a la notificación una copia certificada de la sentencia sobre la cual se basa el pago limitado.
La recuperación del derecho de pago limitado con el producido de la suficiente garantía no podrá efectuarse si el reclamante no cumple integralmente con el presente artículo.
La recuperación del derecho de pago limitado con el producido de la garantía prescribirá para siempre a menos que se notifique el reclamo como lo exige el apartado (3) dentro de los dos o tres(??) años de ocurrida la violación del presente capítulo, base del reclamo.
Las normas procesales relativas a "interplead" (litigar con otros demandantes para determinar el mayor derecho a la demanda) se aplicarán para distribuir equitativamente el producido de la suficiente garantía entre múltiples reclamantes cuyos reclamos excedan el monto de la garantía.