On Fri, 2003-02-07 at 04:46, Hue-Bond wrote: > Cuando voy a la p�gina del banco con mi mozilla 1.2b > (Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.2b) Gecko/20021016) > me encuentro con un errorcillo as�: "Error trying to validate > certificate from mi.banco.es using OCSP - unauthorized request". > �Es alg�n problema con el navegador? Es que en esto de los > certificados estoy totalmente verde.
No, no es un problema con el navegador, es un problema con el servidor de tu banco (pero es bastante inocuo). Por si te interesa, y porque tengo un episodio de insomnio horrible, aqu� te va un rollo. Puedes ignorarlo y mejor brincar al siguiente mensaje, por supuesto :-) La cosa es as�, m�s o menos: cuando una Autoridad Certificadora (AC) te expide un certificado, normalmente lo expide con un per�odo de validez como una medida de seguridad. Sin embargo, puede ser necesario acortar la validez del certificado, o sea "revocarlo" antes de tiempo. Por ejemplo, �sto se hace si comprometes la llave privada asociada al certificado. La idea original del PKI para manejar estas situaciones es que la CA publique peri�dicamente, cada semana o cada mes o lo que sea, una lista de certificados revocados (CRL, de sus siglas en ingl�s). La CRL va firmada criptogr�ficamente, e incluye la fecha en la que se expedir� la siguiente CRL, de forma que los clientes sepan cu�ndo actualizar su copia. Es com�n que los certificados incluyan un URI de donde se puede descargar la CRL m�s reciente, y muchos navegadores soportan esa operaci�n (usualmente lo hacen cuando les pides "verificar" la validez de un certificado). El problema con este esquema es que una CA no puede revocar un certificado de un minuto para otro: puede ser que el certificado no empiece a aparecer como inv�lido ante los clientes sino hasta una semana, un mes, o lo que sea, despu�s de haber sido revocado (dependiendo del per�odo de publicaci�n de la CRL). Sobra decir que, si la raz�n de la revocaci�n de un certificado fue una llave privada comprometida, eso le da al atacante un c�modo per�odo de gracia para explotar su bot�n. OCSP es un protocolo muy simple que permite hacer un chequeo r�pido por la validez de un certificado, mucho menos complejo que procesar una CRL completa. �sto es, el cliente adem�s de contar con la �ltima CRL, puede preguntar en l�nea por el estado de las cosas. El URI de OCSP, como el de las CRLs, tambi�n puede incluirse en una extensi�n de los certificados. Si ves el certificado de tu banco, con algo como openssl s_client -connect tu.banco.es:https | \ openssl x509 -noout -text ver�s que incluye una extensi�n para "Authority Information Access": CA Issuers - URI:http://ca.de.tu.banco.es/ OCSP - URI:http://ca.de.tu.banco.es/ocsp (en ocasiones el URI es LDAP, no HTTP, pero es lo mismo) As� pues, seguramente en la CA de tu banco pensaron implementar OCSP, y le pusieron la extensi�n al certificado --y luego no pusieron el servicio propiamente. Pero bueno, todo este rollo fue para decir que, para todo fin pr�ctico, �sto no tiene mucha importancia. Si eres realmente paranoico y temes que puedas estar sufriendo un ataque de "man in the middle", puedes comprobar el certificado usando OpenSSL. Si te interesa hacer eso, ve openssl(1), y/o preg�ntame por email personal (como que �sto no tiene mucho que ver con Debian, despu�s de todo). Saluditos. -CR
