Firmamos el correo: certificados S/MIME en la práctica

28/1/2020 | Jindřich Zechmeister

En el artículo de hoy vamos a ver cuál es el uso práctico del certificado para la firma electrónica (S/MIME). Usted va a conocer no solo su función sino también la manera de conseguirlo y utilizarlo. Es fácil y también usted puede utilizar el correo electrónico de manera más confiable y segura. En el artículo de hoy vamos a ver cuál es el uso práctico del certificado para la firma...

Definición del certificado S/MIME

El término S/MIME se refiere a un estándar utilizado para los certificados personales que sirven para la firma electrónica y la codificación del correo electrónico: se utiliza en los programas de oficina y es emitido por las autoridades certificadoras comerciales. Pues bien, se trata de un certificado para firmar el correo electrónico en clientes como Outlook o Thunderbird.

¡¿Cuáles son los beneficios de la firma electrónica?

El término firma electrónica tiene muchos significados y definiciones: por lo general se trata de una firma realizada con medios criptográficos propios, que deberían garantizar el origen, la autenticidad y la invariabilidad de un mensaje firmado. Sin embargo, las definiciones legales conocen muchas variantes de este término y crean términos difíciles no solo para un aficionado (vamos a ver el tema de una firma cualificada o garantizada a partir de un certificado cualificado en otro artículo).

La firma electrónica en el propio sentido de la palabra forma parte de un mensaje firmado que comprueba para el destinatario del mensaje (los una vez mencionados arriba) el origen, la autenticidad y sobre todo la invariabilidad del mensaje. La propia firma no tiene nada que ver con la codificación del mensaje o la protección del correo electrónico contra ser leído por una persona no autorizada (mencionaremos esta protección más abajo). Firmar los mensajes y codificar los mensajes son dos términos y operaciones totalmente diferentes. Cuál es la manera de firmar el correo en la práctica lo podrá leer en los siguientes párrafos de este artículo.

¡Ya basta con el firmar, quiero ocultar el mensaje!

Si quiere ocultar el contenido del mensaje codifíquelo con el certificado S/MIME. Sí, con el mismo que tiene para la firma electrónica. Para poder enviarle a alquien el mensaje codificado necesita primero su clave pública; dicho simplemente, es suficiente recibir de él al menos un mensaje firmado y su cliente de correo se ocupará del resto. Se guardará la clave pública de la firma de la otra persona y con ella puede luego codificar un mensaje para esta persona.

Pues bien, por ejemplo si quiere enviar un mensaje “secreto” a su compañero Pepe necesita disponer de al menos un correo firmado por él. Su cliente de correo luego codificará su mensaje con la clave pública de él y lo puede descifrar solamente el titular de la clave privada, es decir Pepe.

Conseguir el certificado S/MIME

Pedido

Conseguir el certificado para firmar o codificar el correo es fácil. En la página web SSLmarket.es realiza un pedido del certificado S/MIME y lo paga. En el primer pedido quizás tenga dudas en cuanto a las cosas que se rellenan en el pedido.

El texto informativo del pedido explica que el certificado lo puede conseguir para un nombre y apellidos y correo electrónico de una persona física (mencionando el nombre y apellidos en el primer paso) o para una empresa y luego se mencionará en el certificado también un contacto de empresa junto con su correo electrónico (en este caso introduce en el primer paso el nombre de la empresa y no el nombre y apellidos de una persona).

Durante el proceso del pedido es importante decidir qué correo electrónico va a utilizarse para el certificado. Este correo figura en el pedido como un correo electrónico de la Persona para la autorización. Si hay algo que no quede claro en el proceso del pedido llámenos y para nosotros será un placer poder ayudarle.

Emisión del certificado

Cuando pague el pedido recibirá un correo electrónico de la autoridad certificadora y mediante él conseguirá el certificado. Haga clic en el enlace recibido y entrará en el sitio web de la autoridad certificadora con un mensaje confirmante.

Después este confirmación enviamos el certificado emitido a su correo y Usted va a poder descargarlo en el detalle del pedido también.

Firmar el correo electrónico en el cliente

En los siguientes párrafos encontrará el procedimiento de firmar en dos clientes de correo más conocidos. Recomendamos utilizar la firma automáticamente en todos los casos y la codificación del correo manualmente (antes de que adquiera el certificado del destinatario incluso no es posible de otra manera).

Microsoft Outlook

El certificado está guardado en el dispositivo de almacenamiento del sistema Windows y está a disposición para otros programas.

Abra la configuración del programa Outlook (Esquina superior izquierda -> Opciones) y en el Centro de confianza abra Configuración. En la Seguridad del correo por fin encontrará la configuración de la Firma electrónica.

 Configuración de Outlook para la firma electrónica

Configuración de Outlook para la firma electrónica. Haga clic para aumentar.

Si el certificado inicial para la firma no está seleccionado (véase más en el campo Configuración predeterminada), o puede hacer cliquendo en la Configuración y seleccionando manualmente el certificado en el ítem Certificado de firma.

Configuración de Outlook para la firma electrónica

Configuración de Outlook para la firma electrónica. Haga clic para aumentar

Hasta aquí en cuanto a la configuración de Outlook. Para firmar un borrador haga clic en el panel inicial en Opciones y elija Firmar o Cifrar. La firma de mensajes concretos es posible activarla automáticamente o lo puede hacer manualmente para cada mensaje en la ventana del mensaje antes de enviarlo.

 Enviar un mensaje  firmado en Outlook

Enviar un mensaje firmado en Outlook. Haga clic para aumentar.

El destinatario de su mensaje va a ver claramente un signo de la firma (cinta) o codificación (candado).

Un mensaje codificado y firmado en Outlook.

Un mensaje codificado y firmado en Outlook

El destinatario luego entrará en el detalle de la firma y el certificado personal S/MIME del remitente después de hacer clic en estos iconos en la esquina superior derecha.

Thunderbird

En el programa Thunderbird, el certificado tiene que estar guardado en su propio dispositivo de almacenamiento. Pues bien, el certificado S/MIME es necesario exportarlo al formato PFX (este le servirá también como una copia del certificado con la clave privada) y luego lo importará a Thunderbird. Encontrará más información en el artículo Exportación e importación de los certificados en diferentes almacenamientos y a continuación Importación del certificado S/MIME a los clientes y su configuración.

Después de una importación exitosa entre en Thunderbird en configuración de la cuenta y elija allí un certificado para firmar. Es de suponer que la oferta contendrá el único certificado: el recién importado.

Nastavení certifikátu v Thunderbirdu

El propio firmar de los mensajes es fácil: en un borrador hace clic en el botón S/MIME y elige Firmar digitalmente este mensaje . En la esquina inferior derecha luego verá un nuevo símbolo del sobre que representará la firma electrónica.

Podepsání zprávy v Thunderbirdu

Ahora puede enviar un mensaje con la firma electrónica. Cifrar el mensaje supone solamente elegir la segunda opción en este menú. En los mensajes recibidos firmados electrónicamente podrá ver un sobre llamativo en la parte derecha del panel con la información sobre el mensaje.

Cliente de web (Gmail, Outlook)

Los clientes web (o dicho de manera más moderna clientes de nube) en el momento de redactar el artículo normalmente no saben trabajar de manera activa con los certificados S/MIME. Solamente las soluciones de empresa comerciales tienen derecho a firmar el correo en los servicios web (véase más por ejemplo en la ayuda para firmar en Office 365). Sin embargo, los servicios de correo gratuitos extranjeros Gmail.com y Outlook.com saben al menos recibir el correo firmado y evaluar la validez de la firma; no obstante, el soporte del certificado es solamente pasivo y para firmar el correo sigue siendo necesario mapear estos buzones en el cliente de correo (Outlook, Thunderbird). En cualquier buzón de este tipo se entra a través del protocolo IMAP o POP3.

Detalle de la firma electrónica en Gmail

El resto de los servicios (por ejemplo Seznam.cz) no soporta las firmas; esto se soluciona de manera que se traslada la firma a un adjunto con la extensión P7S, que en muchos casos confunde al destinatario, el cual no sabe trabajar con él. La ausencia del soporte la puede sin embargo solucionar otra vez utilizando el cliente de correo.


Mgr. Marta Castro Aguila
Especialista en los certificados SSL de seguridad
DigiCert TLS/SSL Professional 
e-mail: marta.castro-aguila(at)zoner.com