alguien por casualidad ha tenido problemas últimamente verificando el CA de SINPE contra los timestamps generados por ellos mismos? En general problemas con openssl?
openssl ts -verify -in response.tsr -data test.pdf -CAfile CA_sha2.pem
Verification: FAILED
139751430313848:error:2F067065:time stamp routines:TS_CHECK_SIGNING_CERTS:ess signing certificate error:ts_rsp_verify.c:311:
El problema es SINPE como tal, desde como como 2 meses no funca
Yo estoy usando los de freetsa
Hmmm no SINPE esta bien, solo cambiaron SHA-1 a SHA-2… peeeeero la validación si es un problema con openssl… Parece que el parche viene hasta OpenSSL 1.1.0
el tsq hay que solicitarlo con sha256 o sha512
Ahora pruebo a ver…
Igual lo que falla en la validación es la comprobación de la cadena
Igual y estoy usando freetsa sin problemas
Ahí no falla ninguna validación
SINPE es nuestro CA
Para mis efectos, me da igual SINPE
me gusta confiar en el CA tico
Para lo que lo necesito, freetsa es tan bueno como SINPE y ahí no me están fallando las verificaciones de tiempo
Freetsa tiene sha-1 :P, malo malo
Jajajajaa
SINPE lo tenía hasta hace poco tmb
Ya… No…
Bueno dejemos de hacer spam
Ese es el parche… TS esta muy descuidado en OpenSSL. los cochinos tienen alambrado SHA-1
(hasta en las mejores familias pasa)
Pero para ser CA no hay que hacer como alguna acreditación?
Yep. Pero para nuestros efectos. Y hablando de nuestra autonomía. Es un asunto de aceptar el CA-raiz. Supongo que luego se “acreditan” para se incluya en los OS.
Igual tenemos la infraestructura para cumplir o si hay que hacer cambios son menores
(Según lo que me han contado)
También es un asunto de seguridad
Estoy de acuerdo…
Sin certificación independiente, como sabemos que no tienen la llave privada de la CA en algún ftp anónimo en un windows server 2003 que a alguien se le olvidó apagar y que sólo usaron “una vez hace mucho” para pasarla de un lado a otro
(Y si, mi confianza en las capacidades de seguridad de las instituciones de este país es casi nula )
Jajaja tristemente en algo hay que confiar siempre.
Aunque sea pura ilusión.
Yep es un riesgo. Pero como dije todo es una ilusión de confianza
Aun con la certificación también hay problemas
Recordemos:
Tons no hay por donde
Por eso yo no uso Windows:wink:
E instalo por mi mismo Linux