BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
🗞️

OSCP FNMT Caído (Certificados y DNIe no disponibles en pasarela Cl@ve y Izenpe)

1
octocero
5

El servicio de autenticación de Cl@ve que se encarga de verificar los certificados digitales emitidos por la FNMT y/o por la policía (DNI electrónico) está respondiendo con mensajes de error al intentar usar cualquiera de estos dos métodos de autenticación. Además, parece que el servicio autonómico del gobierno vasco, IZENPE, también responde con mensajes de error.

Por ejemplo, el siguiente mensaje se observa al intentar acceder al servicio de compra-venta del tesoro español.

AuthnFailed#DescripciónError=003002 - Authentication Failed (certificate not valid: El certificado se encuentra en estado desconocido.).

Cl@ve permanente y otros métodos de autenticación autonómicos (BAQK, etc.) sí que se encuentran disponibles.

Alcance limitado

La pasarela de autenticación de la seguridad social parece estar respondiendo y haciendo bien la verificación, ya que usando estos dos métodos no se presentan problemas. Por tanto se deduce que el servicio intermedio que usan Cl@ve y IZENPE para verificar los certificados no está siendo usado por la pasarela de la seguridad social.

Un ejemplo de web que usa esta pasarela es la tesorería de la seguridad social.

El sistema menos dependiente es el que está fallando

Precisamente, el sistema de certificados es uno que no necesita de internet ya que la propia cadena de custodia del certificado puede garantizar su origen legítimo. Cada uno de los certificados emitidos se encuentra firmado por uno intermedio, y éste a su vez por una autoridad de confianza hard codeada en cada dispositivo. Verificar si el certificado es válido y extraer sus datos es una operación trivial, que no necesita de actores externos (ni mucho menos de internet).

El problema viene con un protocolo extra: el protocolo OSCP se encarga de verificar si un certificado está revocado o no (por ejemplo, si te roban el DNI, el certificado se puede "desactivar" remotamente, desde la autoridad de certificación). Lo normal en todo tipo de implementaciones es que si el servicio OSCP no está accesible, se deje pasar a los usuarios (después de hacer la comprobación pertinente de que el certificado es válido, claro). Es un compromiso. Se tiene un protocolo que está "de salvaguarda" y hay que decidir qué hacer en el caso en el que el protocolo de salvaguarda no esté disponible.

Pues esto es justo lo que ha pasado: el servidor OSCP de la FNMT (autoridad certificadora) se encuentra caído. Parece que algunas pasarelas de autenticación son más estrictas que otras y se aplica un hard-fail, rechazando certificados válidos de usuarios por no poder comprobar si estos se encontraban revocados o no.

vukits

A mí desde ayer por la noche por lo menos no me funciona

Verificar si el certificado es válido y extraer sus datos es una operación trivial, que no necesita de actores externos (ni mucho menos de internet). Aún así, parece que esta tarea de verificación se encuentra delegada en un servicio central (probablemente de la FNMT)

en efecto, la web de la FNMT está caída.

EDIT: es verdad lo que dice @Castillos sobre la revocación :) Se me había olvidado.

Castillos
3

Verificar si el certificado es válido y extraer sus datos es una operación trivial, que no necesita de actores externos (ni mucho menos de internet)

Lo que se ha caído es el servicio OCSP (Protocolo de estado de certificado en línea) de la FNMT. Como sugiere su nombre, es un protocolo diseñado específicamente para verificar el estado de revocación de certificados digitales individuales. La función principal de OCSP es determinar si un certificado sigue siendo confiable y no se ha visto comprometido. Este protocolo es un estándar de Internet y está descrito en la RFC 6960.

El servicio OCSP devuelve una respuesta en tiempo real sobre el estado del certificado, que indicará uno de tres estados:

  • Bueno: el certificado es válido y no ha sido revocado.
  • Revocado: el certificado se ha considerado no confiable y ha sido revocado.
  • Desconocido: el respondedor no pudo determinar el estado del certificado. Esto podría deberse a varias razones, pero esencialmente significa que el OCSP no tiene información actualizada en ese.

No basta con la verificación de la firma digital a través de la clave pública adjunta. Porque sin la consulta OCSP, se desconoce si por ejemplo, el dueño del certificado ha denunciado la pérdida o robo del certificado digital, que en ese caso estaría revocado.

🗨️ 2
octocero

No tenía ni idea de que había fallado el OCSP, no se me había ocurrido.

Sobre si hay que consultar al servidor OCSP siempre y si hay que denegar el certificado cuando el servidor no está accesible se ha hablado largo y tendido (soft-fail vs hard-fail)

blog.cloudflare.com/high-reliability-ocsp-stapling

Y aunque las dos alternativas son malas ( se inventó un protocolo precisamente para resolver este dilema específicamente en TLS - rfc7633 ) la mayoría de implementaciones en librerías y navegadores es actualmente el soft-fail… por eso no había caído en el tema…

Yo soy de la opinión personal de que realmente no se comprometen tantos certificados y con todos los protocolos que hay ahora (crl, aparte de oscp) nos basta más que suficiente, pero claro, luego en el otro extremo tienes a los de Let's Encrypt con sus certificados de 6 días

Con la actual implementación de muchos sistemas en la administración, cualquier cosa me espero últimamente. Actualizo el post

🗨️ 1
Castillos

La pasarela de autenticación de la seguridad social parece estar respondiendo y haciendo bien la verificación, ya que usando estos dos métodos no se presentan problemas.

Sobre si hay que consultar al servidor OCSP siempre y si hay que denegar el certificado cuando el servidor no está accesible se ha hablado largo y tendido (soft-fail vs hard-fail)

Al parecer la Seguridad Social dispone de una copia del servicio OCSP de la FNMT, por lo que en realidad, ellos SI estaban verificando el estado del certificado digital al acceder a su portal.

Pantumaca
1

el OCSP de la FNMT ha estado caido toda la mañana.

Se suponia que a las 11:30h estaria disponible, pero debe ser que no.

He visto el comunicado de pasada, pero estaba con otras cosas y he perdido el hilo de si han dado otrs planificacion

vukits

parece que ya han levantado el proxy reverso… cuando llegue a casa, veré si el OCSP funciona, que no creo

image
vukits
2

ya funciona :)

gracias a todos por las actualizaciones.

estaba realmente preocupado, porque me pilló en medio de un tramite importante

image