¿Qué exige este criterio?
Para que los tokens RFC 3161 de la TSA sean verificables públicamente, el certificado que contiene la clave pública de la TSU debe ser emitido por una CA cualificada reconocida en la Trusted List europea (LOTL). Esto crea la cadena de confianza: token → certificado TSU → CA cualificada → LOTL europea. El certificado debe incluir el ExtendedKeyUsage id-kp-timeStamping y la extensión isCritical=true para cumplir RFC 3161.

¿Qué hay que revisar al cliente?

• CA emisora del certificado de la TSU y verificación en la LOTL europea.
• ExtendedKeyUsage del certificado: id-kp-timeStamping presente y crítico.
• Fecha de caducidad del certificado TSU vigente.
• Proceso de renovación antes de la caducidad.
• Publicación del certificado y de la cadena completa en el repositorio del TSP.
• Algoritmo y longitud de clave del certificado TSU.

Preguntas clave para las entrevistas

• ¿Qué CA emitió el certificado de la TSU? ¿Está en la LOTL europea como CA cualificada?
• ¿El certificado TSU tiene el ExtendedKeyUsage id-kp-timeStamping marcado como crítico?
• ¿Cuándo caduca el certificado TSU vigente? ¿Hay un proceso de renovación con suficiente antelación?
• ¿Está publicada la cadena de certificados en el repositorio del TSP?

¿Por qué es esencial para QERDS y TSA?
Sin cadena hasta una CA cualificada en la LOTL, los tokens no son verificables universalmente. El verificador que no confíe en la CA del prestador directamente no podrá validar los tokens. La cadena hasta la LOTL es lo que hace el servicio reconocible en toda la UE.

Evidencia que demostraría conformidad

• Certificado de la TSU (DER o PEM para análisis).
• Verificación de la CA emisora en la LOTL europea (captura).
• ExtendedKeyUsage verificado con herramienta (OpenSSL o similar).
• Proceso de renovación del certificado TSU.