Pregunta 90
-
- Usuario registrado
- Mensajes: 262
- Registrado: 02 Dic 2009, 11:38
- Agradecido: 0
- Agradecimiento recibido: 0
Pregunta 90
Según la recomendación X.509 v3, las cRL
a) permiten conocer el estado de un certificado en el instante de la consulta
b) para cada certificado revocado indican, entre otros, el nombre del titular del certificado y la correspondiente clave pública
c) deben ser expedidas por las mismas autoridades que emiten los certificados revocados
d) pueden contener sólo certificados revocados desde la expedición de una CRL básica, en cuyo caso se denominan delta CRL
¿Qué pensais de esta pregunta?, yo creo que es la c), porque es la AC la que se encarga de emitir y actualizar la crl, ¿verdad?
Un saludo!
a) permiten conocer el estado de un certificado en el instante de la consulta
b) para cada certificado revocado indican, entre otros, el nombre del titular del certificado y la correspondiente clave pública
c) deben ser expedidas por las mismas autoridades que emiten los certificados revocados
d) pueden contener sólo certificados revocados desde la expedición de una CRL básica, en cuyo caso se denominan delta CRL
¿Qué pensais de esta pregunta?, yo creo que es la c), porque es la AC la que se encarga de emitir y actualizar la crl, ¿verdad?
Un saludo!
- vfrades
- PreparaTIC XXI
- Mensajes: 631
- Registrado: 16 Jun 2008, 15:40
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Pregunta 90
La autoridad de certificación (CA) y la autoridad de validación (VA) no tienen por qué coincidir en general. Por ejemplo los certificados del DNIe son emitidos por la DG de la Policía (CA) y son validados por la FNMT (caso general) o por el MPR (dentro de la Administración).
-
- Usuario registrado
- Mensajes: 275
- Registrado: 31 May 2010, 14:23
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Pregunta 90
Yo veo:
a) Si consideramos la consulta el momento en que se genera la CRL, entonces, refleja fielmente el estado del certificado.
b) No sé si en las CRL's vienen esos datos. En teoría, basta con que venga el número o referencia del certificado revocado.
c) No tiene porque ser emitidas por las mismas CAs. También las puede emitir una VA (no estoy seguro, lo reconozco)
d) Existen las Delta CRLs, pero lo que falla la frase es en el hecho de que "Pueden contener sólo certificados revocados..." Tal como dije en b), no viene el certificado en sí, sino la lista de los certificados, con sus números y/o referencias.
En conclusión: la correcta sería la A)
a) Si consideramos la consulta el momento en que se genera la CRL, entonces, refleja fielmente el estado del certificado.
b) No sé si en las CRL's vienen esos datos. En teoría, basta con que venga el número o referencia del certificado revocado.
c) No tiene porque ser emitidas por las mismas CAs. También las puede emitir una VA (no estoy seguro, lo reconozco)
d) Existen las Delta CRLs, pero lo que falla la frase es en el hecho de que "Pueden contener sólo certificados revocados..." Tal como dije en b), no viene el certificado en sí, sino la lista de los certificados, con sus números y/o referencias.
En conclusión: la correcta sería la A)
No tengo ni iPod, ni iPhone, ni iPad. Básicamente porque no iDinero
-
- PreparaTIC XXI
- Mensajes: 1010
- Registrado: 20 Jul 2010, 09:09
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Pregunta 90
Pues yo creo que la A se refiere a OSCP. Las CRL se descargan normalmente cuando vence su fecha de caducidad. OSCP es una consulta online a la base de datos de certificados revocados. La FNMT permite ambos sistemas.
Con CRL, todo lo que sabes es que el certificado no estaba revocado en la fecha que te descargaste la última CRL. Si esta aún no ha caducado, no pides una nueva versión. No es viable la descarga de nuevas CRL en cada operación de verificación, por su volumen. El tiempo de expiración depende de la criticidad de los datos, y de la volatilidad del tipo de certificado utilizado (si se revocan con más o menos frecuencia). Una forma de aliviar los problemas de las CRL fue las delta CRL, que permiten poner tiempos de expiración relativamente cortos sin que redunde en una excesiva sobrecarga de la red.
El otro mecanismo fue OSCP, que es una consulta del estado de caducidad del cerficado en ese mismo momento.
Con CRL, todo lo que sabes es que el certificado no estaba revocado en la fecha que te descargaste la última CRL. Si esta aún no ha caducado, no pides una nueva versión. No es viable la descarga de nuevas CRL en cada operación de verificación, por su volumen. El tiempo de expiración depende de la criticidad de los datos, y de la volatilidad del tipo de certificado utilizado (si se revocan con más o menos frecuencia). Una forma de aliviar los problemas de las CRL fue las delta CRL, que permiten poner tiempos de expiración relativamente cortos sin que redunde en una excesiva sobrecarga de la red.
El otro mecanismo fue OSCP, que es una consulta del estado de caducidad del cerficado en ese mismo momento.
Última edición por cantimploro el 14 Nov 2011, 20:16, editado 1 vez en total.
-
- Usuario registrado
- Mensajes: 275
- Registrado: 31 May 2010, 14:23
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Pregunta 90
Ha sido un campo de minas.RACHEL escribió:bueno, al final el exámen no ha sido tan fácil como parecía en un principio..., por lo menos para mí
No tengo ni iPod, ni iPhone, ni iPad. Básicamente porque no iDinero
-
- Usuario registrado
- Mensajes: 418
- Registrado: 29 May 2007, 23:28
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Pregunta 90
Yo sigo pensando que es la A.
En las normativas ponen que publicaran CLR nueva en cuanto haya una modificaciones de cualquier certificado.
De lo que hablas de descargarte la CLR es uno de los metodos de trabajo para comprobar certificados. Pero lo que hace el 99% de las empresas para estar seguros al 100% es no descargar la CLR sino comprobarlo automaticamente por OCSP a la FNMT.
En las normativas ponen que publicaran CLR nueva en cuanto haya una modificaciones de cualquier certificado.
De lo que hablas de descargarte la CLR es uno de los metodos de trabajo para comprobar certificados. Pero lo que hace el 99% de las empresas para estar seguros al 100% es no descargar la CLR sino comprobarlo automaticamente por OCSP a la FNMT.
-
- Usuario registrado
- Mensajes: 135
- Registrado: 18 Jun 2008, 22:01
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Pregunta 90
Esta es mi opinión:
a) Falsa. Lo explica muy bien cantimploro. En ese instante de tiempo no tienes porqué saber el estado del certificado (depende de la política de publicación de CRLs), para eso está OCSP.
b) Falsa. Juraría que lo único que aparece es el número de identificación del certificado...
c) Falsa. Quién es esa autoridad que emite los "certificados revocados" ??
d) Verdadera. Las delta CRL suelen tener sólo certificados revocados desde una CRL básica.
a) Falsa. Lo explica muy bien cantimploro. En ese instante de tiempo no tienes porqué saber el estado del certificado (depende de la política de publicación de CRLs), para eso está OCSP.
b) Falsa. Juraría que lo único que aparece es el número de identificación del certificado...
c) Falsa. Quién es esa autoridad que emite los "certificados revocados" ??
d) Verdadera. Las delta CRL suelen tener sólo certificados revocados desde una CRL básica.