El día 7 de septiembre de 2010 10:32, Rafael Ruiz Palacios <[email protected]> escribió: > Que tal Paul!! >
Bien gracias! :-) > Ante todo gracias por la respuesta, te comento (y de paso a las lista, > por supuesto!) un poco más abajo mis conclusiones. > > Paúl Santapau escribió: >> Hola Rafael, >> >> El día 6 de septiembre de 2010 13:28, Rafael Ruiz Palacios >> <[email protected]> escribió: >> >>> Muy buenas a todos! >>> >>> Mi pregunta es bastante simple y un poco genérica, es decir no tanto que >>> ver con CryptoApplet en sí, sino con los certificados en general. Ahí va: >>> >>> - Todos los certificados no traen la URL de la CRL necesaria para su >>> comprobación como extensión ¿no? >>> >> >> Exacto, pueden tenerla o no, además no sólo se permite una URI[1], >> puede ser una ruta LDAP, etc... >> >> >>> Con el de la FNMT, sin ir más lejos, no >>> puedo recuperar la dicha URL, y he observado que no está en la extensión >>> correspondiente (CRLDistributionPoints). ¿Esto es por algo? >>> >>> >> >> Con la FNMT, al menos hace algún tiempo, tenías que suscribir un >> convenio (con compensación económica) tal vez no ponen la URL porque >> no es pública, esto debería aparecer en su CPS (política de >> certificación), pero ahora mismo no la encuentro :-(. >> >> >>> - Por otro lado en caso de no poder recuperar esta URL, la otra forma >>> sería configurándola a mano en ujiCrypto.conf ¿no? El problema es que >>> después ¿como sé que URL usar? ¿Hay alguna manera de saber qué CRL usar >>> para qué certificado? >>> >>> >> >> Si no viene en el certificado, puedes: >> >> 1- Crearte en algún sitio un mapeo CRLs/OCSP - Issuers para saber >> cual aplicar en cada momento. >> 2- Comprobar todas las fuentes secuencialmente hasta que una te diga >> ok. (más ineficiente pero sencillo). >> > La segunda opción te comento, que la probé con CRLs, pero aquí está el > problema, si un certificado no está en la lista de revocación, el método > isRevoked() devolverá "true", así que si no está en ninguna lista, y > suponiendo que la lista que correspondería a este certificado no está > incluida, te devolverá que el certificado es válido, y en realidad es > que si no has incluido su CRL, no está comprobándolo. > Supongo que querías decir que isRevoked() te devolverá "false" y que por tanto no lo consideras revocado. Entonces, la segunda opción sólo sería valida para OCSP donde sí que tienes un Good/Revoked/Unknown, tienes toda la razón. > Con el OCSP sí que utilizo este método, porque supongo que al lanzar las > peticiones, los servidores tendrán en cuenta que certificados son los > suyos ¿no? > Eso es, si el certificado es correcto te devolverá "Good", si esta revocado "Revoked" y si no sabe nada de él, "Unknown". La clase de Java debería devolverte true en el primer caso y lanzarte una excepción en los otros dos. > Con las CRLs lo que voy a hacer es el tema del mapeo de la primera > opción, que sí que me parece interesante. > > Como siempre, muchas gracias por la atención, gran trabajo!!! > > Saludos!!! > >> >> Saludos. >> Paúl. >> >> >>> Muchas gracias!! >>> >>> Saludos!! >>> >>> >> >> [1] http://www.ietf.org/rfc/rfc2459.txt (4.2.1.7) >> >> >>> -- >>> YERBABUENA SOFTWARE >>> Rafael Ruiz Palacios >>> Dpto. I+D+i >>> [email protected] >>> Telf/Phone -Fax.: (+34) 902 995 246 >>> www.yerbabuena.es >>> [email protected] >>> >>> >>> En cumplimiento de la Ley Orgánica 15/1999 de 13 de Diciembre, de >>> Protección de Datos de Carácter Personal, de YSENGINEERS, S.C.A., como >>> Responsable delFichero, pone en su conocimiento que los datos incluidos en >>> este mensaje están dirigidos al destinatario o destinatarios designados, >>> por lo que si lo ha recibido por error, le rogamos nos lo haga saber a la >>> mayor brevedad posible, y elimine el original, no estando permitido hacer >>> ningún uso del mensaje. Ponemos en su conocimiento la posibilidad de >>> ejercer sus derechos de acceso,rectificación, cancelación y oposición, en >>> los términos establecidos en la legislación vigente, que podrá hacer >>> efectivos dirigiéndose por escrito a de YSENGINEERS, S.C.A., en la >>> dirección: C/ Severo Ochoa, num. 4, Parque Tecnológico de Andalucía, 29590, >>> Málaga. >>> >>> _______________________________________________ >>> CryptoApplet mailing list >>> [email protected] >>> http://llistes.uji.es/mailman/listinfo/cryptoapplet >>> >>> >>> >> _______________________________________________ >> CryptoApplet mailing list >> [email protected] >> http://llistes.uji.es/mailman/listinfo/cryptoapplet >> >> > > > -- > YERBABUENA SOFTWARE > Rafael Ruiz Palacios > Dpto. I+D+i > [email protected] > Telf/Phone -Fax.: (+34) 902 995 246 > www.yerbabuena.es > [email protected] > > > En cumplimiento de la Ley Orgánica 15/1999 de 13 de Diciembre, de Protección > de Datos de Carácter Personal, de YSENGINEERS, S.C.A., como Responsable > delFichero, pone en su conocimiento que los datos incluidos en este mensaje > están dirigidos al destinatario o destinatarios designados, por lo que si lo > ha recibido por error, le rogamos nos lo haga saber a la mayor brevedad > posible, y elimine el original, no estando permitido hacer ningún uso del > mensaje. Ponemos en su conocimiento la posibilidad de ejercer sus derechos de > acceso,rectificación, cancelación y oposición, en los términos establecidos > en la legislación vigente, que podrá hacer efectivos dirigiéndose por escrito > a de YSENGINEERS, S.C.A., en la dirección: C/ Severo Ochoa, num. 4, Parque > Tecnológico de Andalucía, 29590, Málaga. > > _______________________________________________ > CryptoApplet mailing list > [email protected] > http://llistes.uji.es/mailman/listinfo/cryptoapplet > > _______________________________________________ CryptoApplet mailing list [email protected] http://llistes.uji.es/mailman/listinfo/cryptoapplet
