¿Qué exige este criterio?
La auditoría de algoritmos deprecados debe ser exhaustiva: no basta con verificar la TSA o los sellos de evidencias. Debe cubrir: (1) todos los endpoints TLS; (2) todos los certificados en uso; (3) el código de la aplicación; (4) los sistemas heredados integrados; (5) las librerías de terceros. Un solo componente con DES/MD5/SHA-1/RSA-1024 puede ser suficiente para una no-conformidad mayor en la auditoría CAR.

¿Qué hay que revisar al cliente?

• Inventario completo de componentes y sus algoritmos.
• Escaneo de endpoints TLS (Qualys, testssl.sh).
• Análisis de certificados (openssl x509 -text).
• Revisión de código para usos de MD5, SHA-1 en funciones de firma o integridad.
• Inventario de librerías de terceros con algoritmos deprecados.
• Plan de eliminación con fechas para cada hallazgo.

Preguntas clave para las entrevistas

• ¿Se ha realizado una auditoría exhaustiva de algoritmos deprecados en todos los componentes?
• ¿Hay algún sistema heredado integrado con el QERDS que use SHA-1 o MD5?
• ¿Las librerías de terceros (OpenSSL, Bouncy Castle, etc.) están actualizadas?
• ¿Hay algún proceso de validación que impida la introducción de algoritmos deprecados en nuevas releases?

¿Por qué es esencial para QERDS y TSA?
Los sistemas heredados son la fuente más frecuente de algoritmos deprecados. Un endpoint de integración con un sistema legacy que use SHA-1 invalida la conformidad del servicio completo. La auditoría de algoritmos debe llegar a todos los sistemas integrados, no solo al core del QERDS/TSA.

Evidencia que demostraría conformidad

• Inventario de componentes con algoritmos identificados.
• Resultados de herramientas de escaneo (Qualys, testssl.sh).
• Plan de eliminación de algoritmos deprecados con fechas.
• Proceso de CI/CD que detecta algoritmos deprecados en nuevas versiones.