Que tal Paul!! Ante todo gracias por la respuesta, te comento (y de paso a las lista, por supuesto!) un poco más abajo mis conclusiones.
Paúl Santapau escribió: > Hola Rafael, > > El día 6 de septiembre de 2010 13:28, Rafael Ruiz Palacios > <[email protected]> escribió: > >> Muy buenas a todos! >> >> Mi pregunta es bastante simple y un poco genérica, es decir no tanto que >> ver con CryptoApplet en sí, sino con los certificados en general. Ahí va: >> >> - Todos los certificados no traen la URL de la CRL necesaria para su >> comprobación como extensión ¿no? >> > > Exacto, pueden tenerla o no, además no sólo se permite una URI[1], > puede ser una ruta LDAP, etc... > > >> Con el de la FNMT, sin ir más lejos, no >> puedo recuperar la dicha URL, y he observado que no está en la extensión >> correspondiente (CRLDistributionPoints). ¿Esto es por algo? >> >> > > Con la FNMT, al menos hace algún tiempo, tenías que suscribir un > convenio (con compensación económica) tal vez no ponen la URL porque > no es pública, esto debería aparecer en su CPS (política de > certificación), pero ahora mismo no la encuentro :-(. > > >> - Por otro lado en caso de no poder recuperar esta URL, la otra forma >> sería configurándola a mano en ujiCrypto.conf ¿no? El problema es que >> después ¿como sé que URL usar? ¿Hay alguna manera de saber qué CRL usar >> para qué certificado? >> >> > > Si no viene en el certificado, puedes: > > 1- Crearte en algún sitio un mapeo CRLs/OCSP - Issuers para saber > cual aplicar en cada momento. > 2- Comprobar todas las fuentes secuencialmente hasta que una te diga > ok. (más ineficiente pero sencillo). > La segunda opción te comento, que la probé con CRLs, pero aquí está el problema, si un certificado no está en la lista de revocación, el método isRevoked() devolverá "true", así que si no está en ninguna lista, y suponiendo que la lista que correspondería a este certificado no está incluida, te devolverá que el certificado es válido, y en realidad es que si no has incluido su CRL, no está comprobándolo. Con el OCSP sí que utilizo este método, porque supongo que al lanzar las peticiones, los servidores tendrán en cuenta que certificados son los suyos ¿no? Con las CRLs lo que voy a hacer es el tema del mapeo de la primera opción, que sí que me parece interesante. Como siempre, muchas gracias por la atención, gran trabajo!!! Saludos!!! > > Saludos. > Paúl. > > >> Muchas gracias!! >> >> Saludos!! >> >> > > [1] http://www.ietf.org/rfc/rfc2459.txt (4.2.1.7) > > >> -- >> YERBABUENA SOFTWARE >> Rafael Ruiz Palacios >> Dpto. I+D+i >> [email protected] >> Telf/Phone -Fax.: (+34) 902 995 246 >> www.yerbabuena.es >> [email protected] >> >> >> En cumplimiento de la Ley Orgánica 15/1999 de 13 de Diciembre, de Protección >> de Datos de Carácter Personal, de YSENGINEERS, S.C.A., como Responsable >> delFichero, pone en su conocimiento que los datos incluidos en este mensaje >> están dirigidos al destinatario o destinatarios designados, por lo que si lo >> ha recibido por error, le rogamos nos lo haga saber a la mayor brevedad >> posible, y elimine el original, no estando permitido hacer ningún uso del >> mensaje. Ponemos en su conocimiento la posibilidad de ejercer sus derechos >> de acceso,rectificación, cancelación y oposición, en los términos >> establecidos en la legislación vigente, que podrá hacer efectivos >> dirigiéndose por escrito a de YSENGINEERS, S.C.A., en la dirección: C/ >> Severo Ochoa, num. 4, Parque Tecnológico de Andalucía, 29590, Málaga. >> >> _______________________________________________ >> CryptoApplet mailing list >> [email protected] >> http://llistes.uji.es/mailman/listinfo/cryptoapplet >> >> >> > _______________________________________________ > CryptoApplet mailing list > [email protected] > http://llistes.uji.es/mailman/listinfo/cryptoapplet > > -- YERBABUENA SOFTWARE Rafael Ruiz Palacios Dpto. I+D+i [email protected] Telf/Phone -Fax.: (+34) 902 995 246 www.yerbabuena.es [email protected] En cumplimiento de la Ley Orgánica 15/1999 de 13 de Diciembre, de Protección de Datos de Carácter Personal, de YSENGINEERS, S.C.A., como Responsable delFichero, pone en su conocimiento que los datos incluidos en este mensaje están dirigidos al destinatario o destinatarios designados, por lo que si lo ha recibido por error, le rogamos nos lo haga saber a la mayor brevedad posible, y elimine el original, no estando permitido hacer ningún uso del mensaje. Ponemos en su conocimiento la posibilidad de ejercer sus derechos de acceso,rectificación, cancelación y oposición, en los términos establecidos en la legislación vigente, que podrá hacer efectivos dirigiéndose por escrito a de YSENGINEERS, S.C.A., en la dirección: C/ Severo Ochoa, num. 4, Parque Tecnológico de Andalucía, 29590, Málaga. _______________________________________________ CryptoApplet mailing list [email protected] http://llistes.uji.es/mailman/listinfo/cryptoapplet
