Verificación del CA de SINPE

kmoragas · 1 Agosto, 2016 06:00

alguien por casualidad ha tenido problemas últimamente verificando el CA de SINPE contra los timestamps generados por ellos mismos? En general problemas con openssl?
openssl ts -verify -in response.tsr -data test.pdf -CAfile CA_sha2.pem
Verification: FAILED
139751430313848:error:2F067065:time stamp routines:TS_CHECK_SIGNING_CERTS:ess signing certificate error:ts_rsp_verify.c:311:

d_tec · 16 Agosto, 2020 14:58

El problema es SINPE como tal, desde como como 2 meses no funca

Yo estoy usando los de freetsa

kmoragas · 16 Agosto, 2020 14:58

Hmmm no SINPE esta bien, solo cambiaron SHA-1 a SHA-2… peeeeero la validación si es un problema con openssl… Parece que el parche viene hasta OpenSSL 1.1.0

el tsq hay que solicitarlo con sha256 o sha512

d_tec · 16 Agosto, 2020 14:59

Ahora pruebo a ver…

kmoragas · 16 Agosto, 2020 14:59

Igual lo que falla en la validación es la comprobación de la cadena

d_tec · 16 Agosto, 2020 14:59

Igual y estoy usando freetsa sin problemas

Ahí no falla ninguna validación

kmoragas · 16 Agosto, 2020 15:00

SINPE es nuestro CA

d_tec · 16 Agosto, 2020 15:00

Para mis efectos, me da igual SINPE

kmoragas · 16 Agosto, 2020 15:00

me gusta confiar en el CA tico

d_tec · 16 Agosto, 2020 15:00

Para lo que lo necesito, freetsa es tan bueno como SINPE y ahí no me están fallando las verificaciones de tiempo

kmoragas · 16 Agosto, 2020 15:01

Freetsa tiene sha-1 :P, malo malo

Jajajajaa

d_tec · 16 Agosto, 2020 15:01

SINPE lo tenía hasta hace poco tmb

kmoragas · 16 Agosto, 2020 15:01

Ya… No…

Bueno dejemos de hacer spam

Ese es el parche… TS esta muy descuidado en OpenSSL. los cochinos tienen alambrado SHA-1

(hasta en las mejores familias pasa)

jeff · 16 Agosto, 2020 15:02

Pero para ser CA no hay que hacer como alguna acreditación?

kmoragas · 16 Agosto, 2020 15:03

Yep. Pero para nuestros efectos. Y hablando de nuestra autonomía. Es un asunto de aceptar el CA-raiz. Supongo que luego se “acreditan” para se incluya en los OS.

Igual tenemos la infraestructura para cumplir o si hay que hacer cambios son menores

(Según lo que me han contado)

jeff · 16 Agosto, 2020 15:03

También es un asunto de seguridad

kmoragas · 16 Agosto, 2020 15:04

Estoy de acuerdo…

jeff · 16 Agosto, 2020 15:04

Sin certificación independiente, como sabemos que no tienen la llave privada de la CA en algún ftp anónimo en un windows server 2003 que a alguien se le olvidó apagar y que sólo usaron “una vez hace mucho” para pasarla de un lado a otro

(Y si, mi confianza en las capacidades de seguridad de las instituciones de este país es casi nula )

kmoragas · 16 Agosto, 2020 15:04

Jajaja tristemente en algo hay que confiar siempre.

Aunque sea pura ilusión.

Yep es un riesgo. Pero como dije todo es una ilusión de confianza

Aun con la certificación también hay problemas

Recordemos:

Tons no hay por donde

jeff · 16 Agosto, 2020 15:05

Por eso yo no uso Windows:wink:

E instalo por mi mismo Linux