Pregunta 90
- vfrades
- PreparaTIC XXI
- Mensajes: 631
- Registrado: 16 Jun 2008, 15:40
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Pregunta 90
Copio un párrafo del apartado 5 de la RFC 3280:
Ya puse el ejemplo de la AC del DNIe que delega en la FNMT la publicación de las CRLs y el servicio de OCSP.CRL issuers issue CRLs. In general, the CRL issuer is the CA. CAs
publish CRLs to provide status information about the certificates
they issued. However, a CA may delegate this responsibility to
another trusted authority. Whenever the CRL issuer is not the CA
that issued the certificates, the CRL is referred to as an indirect
CRL.
- vfrades
- PreparaTIC XXI
- Mensajes: 631
- Registrado: 16 Jun 2008, 15:40
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Pregunta 90
En el instante de la consulta no, lo que permite es conocer el estado del certificado en el instante en que se emitió la CRL (que debe ir correctamente fechada). Un certificado puede haber sido revocado y no figurar aún como tal el la CRL vigente; no aparecerá como revocado hasta la publicación de la siguiente CRL.cimabue escribió:Y por qué no puede ser la A. Al fin de al cabo permiten conocer el estado de un certificado en el instante de la consulta. No???
-
- Usuario registrado
- Mensajes: 418
- Registrado: 29 May 2007, 23:28
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Pregunta 90
vfrades, pero una CRL no se publica nada más haber un cambio??
Es decir, si a Botín le roban su tarjeta de firma y lo denuncia no creo que esperen a las 8 de la mñana del dia siguiente para publicarlo... Funciona igual que cuando nos roban una tarjeta de credito.
Donde trabajo yo usamos OCSP por esa razón, para estar seguros en todo momento que quien firma lo que manda PUEDE hacerlo.
Por eso yo contesté la A
Es decir, si a Botín le roban su tarjeta de firma y lo denuncia no creo que esperen a las 8 de la mñana del dia siguiente para publicarlo... Funciona igual que cuando nos roban una tarjeta de credito.
Donde trabajo yo usamos OCSP por esa razón, para estar seguros en todo momento que quien firma lo que manda PUEDE hacerlo.
Por eso yo contesté la A
-
- PreparaTIC XXI
- Mensajes: 1010
- Registrado: 20 Jul 2010, 09:09
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Pregunta 90
Tú mismo te contestas: usáis OCSP por esa razón. Para eso se inventó OCSP, porque las CRL no tenían la suficiente agilidad. En realidad OCSP también introduce otros problemas, ninguna de las dos soluciones es perfecta, pero por lo que se refiere a consulta de estado de validez "en ese momento", es OCSP lo que necesitas.
¿No estaréis llamando CRL a la base de datos de certificados revocados, e interpretando cosas como que uno usa OCSP para consultar la CRL? Son cosas distintas. La base de datos de certificados revocados se consulta en línea mediante OCSP, o se descarga asíncronamente como CRL.
¿No estaréis llamando CRL a la base de datos de certificados revocados, e interpretando cosas como que uno usa OCSP para consultar la CRL? Son cosas distintas. La base de datos de certificados revocados se consulta en línea mediante OCSP, o se descarga asíncronamente como CRL.