Los nuevos certificados cualificados de sitio web 1-QWAC y 2-QWAC

La Unión Europea avanza en la confianza digital con los certificados cualificados de sitio web. El Reglamento 2024/1183 y las normas ETSI definen dos opciones técnicas (1-QWAC y 2-QWAC) que impactarán en navegadores, servidores y en la forma de gestionar la seguridad online.

Continúa la publicación de estándares de ETSI para apoyar el desarrollo de EIDAS y EIDAS2. Algunos de ellos forman parte de los actos de ejecución de EIDAS2.

Uno de los aspectos desarrollados es el que tiene que ver con los certificados cualificados de autenticación de sitios web (en inglés QWAC Qualified Website Authentication Certificates).

Con la publicación del Reglamento 2024/1183 la redacción de los artículos 45 y 45 bis quedó así:

Artículo 45 – Requisitos aplicables a los certificados cualificados de autenticación de sitios web

Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. La evaluación del cumplimiento de dichos requisitos se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 2 del presente artículo.

1 bis. Los proveedores de navegadores web reconocerán los certificados cualificados de autenticación de sitios web expedidos de conformidad con el apartado 1 del presente artículo. Los proveedores de navegadores web garantizarán que los datos de identificación de la persona declarados en el certificado y los atributos declarados adicionales se muestren al usuario de un modo fácil de consultar. Los proveedores de navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo, con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE durante sus primeros cinco años de actividad como prestadores de servicios de navegación web.

1 ter. Los certificados cualificados de autenticación de sitios web no estarán sometidos a ningún requisito obligatorio que no sean los requisitos establecidos en el apartado 1.

A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

Artículo 45 bis – Medidas cautelares en materia de ciberseguridad