Período de gracia en las firmas XAdES-XL


Debido al estado de desarrollo de los PSC cuando se redactaron algunas normas de firma electrónica, se tuvo en consideración el llamado “periodo de gracia para comprobación del estado de revocación de un certificado”.

En alguna de aquellas normas  se recomendaba tener en cuenta la existencia de un periodo de tiempo de espera, conocido como periodo de precaución o periodo de gracia, para comprobar el estado de revocación de un certificado. Por ello, toda la información de revocación en formatos AdES se recomendaba incluirla después de trascurrido el periodo de precaución o periodo de gracia desde la obtención del sellado de tiempo. Este periodo como mínimo debía ser el tiempo máximo permitido para el refresco completo de las CRLs o el tiempo máximo de actualización del estado del certificado en el servicio OCSP. Estos tiempos podrán ser variables según la Declaración de Prácticas de Certificación del Prestador de Servicios de Certificación.

En la actualidad, está precaución no tiene sentido, especialmente cuando las firmas XAdES-XL se generan del lado del firmante y es este el que inlcuye los datos de timestamping y de validación basada en OCSP (y por tanto conoce si su certificado está revocado o no).

Efectivamente, en la actualidad, la información sobre revocación de certificados que ofrecen los prestadores de servicios de certificación sobre OCSP incluyen de forma inmediata cualquier información de revocación que se produzca, en tiempo real.

Sólo hay que tomar precauciones cuando se utilice como mecanismo de comprobación de la revocación el acceso a las listas CRL (un mecanismo obsoleto que solo se usa en algunos contextos) o cuando se utilice un servicio de validación que, aun siendo soportado por el protocolo OCSP, se basa en la consulta de CRLs para su funcionamiento.

En España, los únicos certificados que podrían requerir el mantenimiento del período de gracia son los de FNMT-RCM, ya que en muchos casos siguen distribuyendo CRLs. Igualmente, cuando se utilice @firma como plataforma de validación, conviene cerciorarse que el servicio no esté basado en consulta de CRLs.

5 pensamientos en “Período de gracia en las firmas XAdES-XL

  1. inza Autor de la entrada

    Las Normas Técnicas de Interoperabilidad del ENI que se refieren a la firma electrónica no son de mucha ayuda al tratar este concepto.

    Responder
  2. Santi Casas

    El problema de fondo es que gestionar el periodo de gracia es tan complicado que no lo hace nadie. Es más, aquellas políticas de firma que hacen referencia a ello es para decir que no lo tienen en cuenta.

    En consecuencia el periodo de gracia en lugar de una garantía se convierte “de facto” en un problema de seguridad.

    En la época de las redes sociales, los móviles y el tiempo real “extremo”, creo sinceramente que los PSCs deben ponerse las pilas y ofrecer un servicio OCSP “on-time”🙂

    Responder
  3. Artur Barbeta

    En realidad muchos servicios OCSP son tan susceptibles a fallos como las propias CRL ya que éstos mismos las consumen, incluso diria que puede añadir algun tiempo más, el que tarde en refrescar sus fuentes de información (sea un ldap, una base de datos, la propia crl, etc).
    Lo de que solo se use en algunos contextos… por lo menos en mi mundo las veo y uso(y sufro jeje) muy habitualmente. Coincido contigo en que se basan en un principio que no parece muy ótimo arrastrar listas que pueden llegar a ser de cientos y cientos de kb.

    Saludos.

    Responder
  4. Marcel Odena

    Ei Julian,
    un motivo útil que le veo al tiempo de gracia es el de mitigar posibles problemas técnicos en la actualización de las listas de revocación (ja sea via CRL, com OCSP, al fin y al cabo, también és un servio sucecptible de incidencias técnicas.
    La gracia de utilizar CRL en la validació és que con un “escaneo” de la crl y cacheando unos minutos aceleras las respuestas de valicación, en cambio con ocsp prácticament a cada validación debes hacer una consulta al servicio ocsp del prestador. Nada es la panacea😉
    Muy interesante el articulo.
    Saludos

    Responder

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s