Pregunta 90

Temas relacionados con el examen de test
RACHEL
Usuario registrado
Mensajes: 262
Registrado: 02 Dic 2009, 11:38
Agradecido: 0
Agradecimiento recibido: 0

Pregunta 90

Mensaje por RACHEL »

Según la recomendación X.509 v3, las cRL
a) permiten conocer el estado de un certificado en el instante de la consulta
b) para cada certificado revocado indican, entre otros, el nombre del titular del certificado y la correspondiente clave pública
c) deben ser expedidas por las mismas autoridades que emiten los certificados revocados
d) pueden contener sólo certificados revocados desde la expedición de una CRL básica, en cuyo caso se denominan delta CRL

¿Qué pensais de esta pregunta?, yo creo que es la c), porque es la AC la que se encarga de emitir y actualizar la crl, ¿verdad?

Un saludo!

danihdez
Usuario registrado
Mensajes: 1
Registrado: 14 Nov 2011, 19:15
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por danihdez »

Yo también he contestado la C.

Avatar de Usuario
vfrades
PreparaTIC XXI
Mensajes: 631
Registrado: 16 Jun 2008, 15:40
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por vfrades »

La autoridad de certificación (CA) y la autoridad de validación (VA) no tienen por qué coincidir en general. Por ejemplo los certificados del DNIe son emitidos por la DG de la Policía (CA) y son validados por la FNMT (caso general) o por el MPR (dentro de la Administración).

RACHEL
Usuario registrado
Mensajes: 262
Registrado: 02 Dic 2009, 11:38
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por RACHEL »

pero la autoridad de validación no es la que emite la crl, es la que comprueba el certificado con la crl, si no estoy equivocada

Josen
Usuario registrado
Mensajes: 418
Registrado: 29 May 2007, 23:28
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por Josen »

Pero no es la A?? cuando compruebas un certificado te vas a FNMT por ejemplo a comprobar el CRL y ver si está cancelado o no. Se supone que es para eso...

Walia
Usuario registrado
Mensajes: 275
Registrado: 31 May 2010, 14:23
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por Walia »

Yo veo:
a) Si consideramos la consulta el momento en que se genera la CRL, entonces, refleja fielmente el estado del certificado.
b) No sé si en las CRL's vienen esos datos. En teoría, basta con que venga el número o referencia del certificado revocado.
c) No tiene porque ser emitidas por las mismas CAs. También las puede emitir una VA (no estoy seguro, lo reconozco)
d) Existen las Delta CRLs, pero lo que falla la frase es en el hecho de que "Pueden contener sólo certificados revocados..." Tal como dije en b), no viene el certificado en sí, sino la lista de los certificados, con sus números y/o referencias.

En conclusión: la correcta sería la A)
No tengo ni iPod, ni iPhone, ni iPad. Básicamente porque no iDinero

RACHEL
Usuario registrado
Mensajes: 262
Registrado: 02 Dic 2009, 11:38
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por RACHEL »

bueno, al final el exámen no ha sido tan fácil como parecía en un principio..., por lo menos para mí :?

cantimploro
PreparaTIC XXI
Mensajes: 1010
Registrado: 20 Jul 2010, 09:09
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por cantimploro »

Pues yo creo que la A se refiere a OSCP. Las CRL se descargan normalmente cuando vence su fecha de caducidad. OSCP es una consulta online a la base de datos de certificados revocados. La FNMT permite ambos sistemas.

Con CRL, todo lo que sabes es que el certificado no estaba revocado en la fecha que te descargaste la última CRL. Si esta aún no ha caducado, no pides una nueva versión. No es viable la descarga de nuevas CRL en cada operación de verificación, por su volumen. El tiempo de expiración depende de la criticidad de los datos, y de la volatilidad del tipo de certificado utilizado (si se revocan con más o menos frecuencia). Una forma de aliviar los problemas de las CRL fue las delta CRL, que permiten poner tiempos de expiración relativamente cortos sin que redunde en una excesiva sobrecarga de la red.

El otro mecanismo fue OSCP, que es una consulta del estado de caducidad del cerficado en ese mismo momento.
Última edición por cantimploro el 14 Nov 2011, 20:16, editado 1 vez en total.

Walia
Usuario registrado
Mensajes: 275
Registrado: 31 May 2010, 14:23
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por Walia »

RACHEL escribió:bueno, al final el exámen no ha sido tan fácil como parecía en un principio..., por lo menos para mí :?
Ha sido un campo de minas. :?
No tengo ni iPod, ni iPhone, ni iPad. Básicamente porque no iDinero

Avatar de Usuario
vfrades
PreparaTIC XXI
Mensajes: 631
Registrado: 16 Jun 2008, 15:40
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por vfrades »

Aquí seguro que darán por buena la respuesta d). Aunque puede que el verbo "contener" no sea el más adecuado, no creo que sea suficiente motivo de anulación.

RACHEL
Usuario registrado
Mensajes: 262
Registrado: 02 Dic 2009, 11:38
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por RACHEL »

yo sigo pensando que es la c) :?

Avatar de Usuario
vfrades
PreparaTIC XXI
Mensajes: 631
Registrado: 16 Jun 2008, 15:40
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por vfrades »

RACHEL escribió:yo sigo pensando que es la c) :?

¿Y qué pasa con las CRLs correspondientes a los certificados del DNIe?

Josen
Usuario registrado
Mensajes: 418
Registrado: 29 May 2007, 23:28
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por Josen »

Yo sigo pensando que es la A.

En las normativas ponen que publicaran CLR nueva en cuanto haya una modificaciones de cualquier certificado.
De lo que hablas de descargarte la CLR es uno de los metodos de trabajo para comprobar certificados. Pero lo que hace el 99% de las empresas para estar seguros al 100% es no descargar la CLR sino comprobarlo automaticamente por OCSP a la FNMT.

RACHEL
Usuario registrado
Mensajes: 262
Registrado: 02 Dic 2009, 11:38
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por RACHEL »

no sé, ya con los del dnie me pierdo. De todas formas, habla de la recomendación x509v3, y no tengo ni idea de lo que dice

jasanchezbl
Usuario registrado
Mensajes: 135
Registrado: 18 Jun 2008, 22:01
Agradecido: 0
Agradecimiento recibido: 0

Re: Pregunta 90

Mensaje por jasanchezbl »

Esta es mi opinión:
a) Falsa. Lo explica muy bien cantimploro. En ese instante de tiempo no tienes porqué saber el estado del certificado (depende de la política de publicación de CRLs), para eso está OCSP.
b) Falsa. Juraría que lo único que aparece es el número de identificación del certificado...
c) Falsa. Quién es esa autoridad que emite los "certificados revocados" ??
d) Verdadera. Las delta CRL suelen tener sólo certificados revocados desde una CRL básica.

Cerrado

Volver a “PRIMER EXAMEN 2011”