9. Validez de los certificados de seguridad

9.1. Vigencia

Los certificados de seguridad son válidos por un período de tiempo determinado, indicado en el propio certificado: fecha y hora del comienzo y la extinción de su validez. La validez de los certificados no debe ser demasiado extensa, pues, en este caso, las claves protegidas se encuentran expuestas a mayores riesgos de ser copiadas, apropiadas o utilizadas ilegítimamente por terceros.

Algunos países, limitan la duración máxima de los certificados entre tres y cinco años. Una firma electrónica sólo será válida si se expidió dentro del período de validez del certificado de seguridad correspondiente. En caso de que la firma electrónica haya sido expedida fuera de este período, las transacciones celebradas utilizando dicha firma carecen de seguridad jurídica.

Es España, la Ley 59/2003 detalla, como causa de extinción del a vigencia de un certificado, las siguientes:

a. Expiración del período de validez que figura en el certificado.

b. Revocación formulada por el firmante, la persona física o jurídica representada por éste, un tercero autorizado o la persona física solicitante de un certificado electrónico de persona jurídica.

c. Violación o puesta en peligro del secreto de los datos de creación de firma del firmante o del prestador de servicios de certificación o utilización indebida de dichos datos por un tercero.

d. Resolución judicial o administrativa que lo ordene.

e. Fallecimiento o extinción de la personalidad jurídica del firmante; fallecimiento, o extinción de la personalidad jurídica del representado; incapacidad sobrevenida, total o parcial, del firmante o de su representado; terminación de la representación; disolución de la persona jurídica representada o alteración de las condiciones de custodia o uso de los datos de creación de firma que estén reflejadas en los certificados expedidos a una persona jurídica.

f. Cese en la actividad del prestador de servicios de certificación salvo que, previo consentimiento expreso del firmante, la gestión de los certificados electrónicos expedidos por aquél sean transferidos a otro prestador de servicios de certificación.

g. Alteración de los datos aportados para la obtención del certificado o modificación de las circunstancias verificadas para la expedición del certificado, como las relativas al cargo o a las facultades de representación, de manera que éste ya no fuera conforme a la realidad.

h. Cualquier otra causa lícita prevista en la declaración de prácticas de certificación.

El período de validez de los certificados electrónicos será adecuado a las características y tecnología empleada para generar los datos de creación de firma. En el caso de los certificados reconocidos este período no podrá ser superior a cuatro años. La extinción de la vigencia de un certificado electrónico surtirá efectos frente a terceros, en los supuestos de expiración de su período de validez, desde que se produzca esta circunstancia y, en los demás casos, desde que la indicación de dicha extinción se incluya en el servicio de consulta sobre la vigencia de los certificados del prestador de servicios de certificación.

9.2. Revocación

Por regla general, los certificados serán revocados una vez que cumplan el período temporal de validez por el cual fueron creados. Sin embargo, también cabe la posibilidad de que el certificado sea objeto de una revocación anticipada, generalmente cuando la clave privada ha sido puesta en peligro (perdida o extraviada), por lo que puede ser utilizada por personas no autorizadas o para fines ilegítimos.

Los prestadores de servicios de certificación suspenderán la vigencia de los certificados electrónicos expedidos si concurre alguna de las siguientes causas:

a. Solicitud del firmante, la persona física o jurídica representada por éste, un tercero autorizado o la persona física solicitante de un certificado electrónico de persona jurídica.

b. Resolución judicial o administrativa que lo ordene.

c. La existencia de dudas fundadas acerca de la concurrencia de las causas de extinción de la vigencia de los certificados contempladas en los párrafos c y g del artículo 8.1.

d. Cualquier otra causa lícita prevista en la declaración de prácticas de certificación.

La suspensión de la vigencia de un certificado electrónico surtirá efectos desde que se incluya en el servicio de consulta sobre la vigencia de los certificados del prestador de servicios de certificación. Los certificados perderán su validez desde el momento mismo en que concurra alguna de las causas de revocación, si bien, en algunos casos, se requiere que dicha revocación sea debidamente publicada por el proveedor de servicios.