Código Abierto
Firma de documento
Certificados
Firma
23 jun 2023
> Descargo de responsabilidad: No soy abogado y esto no es asesoramiento legal. Planeamos publicar un marco mucho más específico sobre el tema de la validez de la firma.
Esta es la primera entrega de la nueva serie Building Documenso, donde describo los desafíos y las decisiones de diseño que tomamos al construir la plataforma de firma más abierta del mundo.
Como quizás hayas oído, recientemente lanzamos la versión 0.9 de Documenso en GitHub revisada por la comunidad y ahora está disponible a través del plan para early adopters. Una de las decisiones más fundamentales que tuvimos que tomar en este primer lanzamiento fue la elección del certificado. Aunque es interesante saber por qué optamos por esto, también servirá como una guía para todos aquellos que enfrentan la misma elección para autoalojar Documenso.
> Pregunta: ¿Por qué necesito un certificado de firma de documentos para autoalojar?
> Respuesta corta: Insertar las imágenes de una firma en el documento es solo parte del proceso de firma.
Para tener un documento firmado digitalmente real, necesitas un certificado de firma de documentos que se utiliza para crear la firma digital que se inserta en el documento, junto con la visible¹.
Cuando aloja un servicio de firma por su cuenta, como nosotros, hay cuatro opciones principales para manejar el certificado: No usar un certificado, crear el suyo propio, comprar un certificado de confianza y convertirse en un proveedor de servicios de confianza para emitir su propio certificado de confianza.
1. Sin certificado
Muchos servicios de firma en realidad no emplean firmas digitales reales además de la imagen insertada. Solo insertan una imagen de las firmas en el documento que firmaste. Esto se puede hacer y es legalmente aceptable en muchos casos. Esta opción no está directamente soportada por Documenso sin cambiar el código.
2. Crear el suyo propio
Dado que la criptografía detrás de los certificados está disponible de forma gratuita como código abierto, podrías generar el tuyo propio usando OpenSSL, por ejemplo. Dado que es apenas más trabajo que la opción 1 (usando Documenso al menos), esta sería mi recomendación de mínimo esfuerzo. Tener un certificado auto-creado (“auto-firmado”) no añade mucho en términos de regulación pero garantiza la integridad del documento, lo que significa que no se han realizado cambios después de la firma². Lo que esto no te da es la famosa marca de verificación verde en Adobe Acrobat. ¿Por qué? Porque no estás en la lista de proveedores en los que Adobe