Accesso PA con TS CNS

Salve a tutti !!!
Non so se questo è il posto giusto per chiedere lumi…
Sto utilizzando una TS abilitata CNS della Regione Veneto, ho visto che il certificato è rilasciato da OU=PosteCert
La postazione dove utilizzo questa CNS è configurata con gli ultimi drivers disponibili per il chip OT2015 ma usando qualsiasi browser in qualsiasi sito della PA non si riesce attivare il protocollo SSL TLS, viene rifiutata la connessione sicura in qualsiasi portale…

Qualche suggerimento ?
Grazie anticipatamente

Il problema è che la smartcard di Postecert non è una vera CNS come si dice nel sito stesso e come ho segnalato in precedenza. Strano ma vero ed è anche incomprensibile!

LINK

In realtà il certificato CNS inserito in una Tessera Sanitaria dovrebbe essere emesso da un ente pubblico (come tutte le CNS) e quindi nel tuo caso dalla Regione Veneto.
Secondo le ultime liste pubblicate da AgID, i nomi delle Certification Authority abilitate dovrebbero essere:
CN = Regione Veneto - CA Cittadini,OU = Servizi di Certificazione,O = Actalis S.p.A.,C = IT
CN = Regione Veneto - CA Cittadini,OU = Servizi di Certificazione,O = Postecom S.p.A.,C = IT
CN = Regione Veneto - CA Cittadini,OU = Servizi di Certificazione,O = Postecom S.p.A.,C = IT
CN=Regione Veneto - CA Cittadini OU=Servizi di Certificazione O=Poste Italiane S.p.A. C=IT
Se si tratta quindi di uno di questi e il corrispondente certificato CNS è visibile dal browser (verificare nelle opzioni di quello in uso), l’autenticazione dovrebbe avvenire con successo, sempre che il portale dove ci si autentica abbia correttamente inserito le CA di cui sopra.
Con i portali che forniamo e la TS-CNS della Regione Piemonte, funziona.

La smartcard rilasciate dalle Poste non è più inserita nella lista di AgID, e anche le Poste stesse dicono che la loro non è una CNS (come @Paolo_Del_Romano aveva già segnalato qui .
Non è chiaro quindi se i portali PA la debbano accettare o meno

@emmedi aveva però segnalato il fatto che Aruba emette di fatto delle CNS (io aggiungo che funzionano! ) pur non essendo una PA:

LINK

Si, grazie appunto a quell’accordo con un’Università che è un ente pubblico (vale quanto detto nel link che hai riportato).
Quello che non mi è chiaro è come mai le CA di Postecom fossero negli elenchi abilitati per la CNS fino almeno al 2016 e poi non più. Vedi in proposito anche questa discussione:
LINK
Una risposta “ufficiale” di AgID non sarebbe male…

Buona serata!
Federico

infatti…stiamo parlando di un operatore di fatto “statale” ( le Poste) con una massa critica rilevante

io ho attivato la mia Tessera Sanitaria presso un distretto della RegioneVeneto e questo è il dettaglio del mio certificato e come vedete è rilasciato dalle Poste

certificato

Ma nessun altro ha avuto il mio stresso problema ? Risolto ?

Il certificato è rilasciato da una delle CA che avevo indicato, quindi è valido per l’accesso CNS (mi si perdoni la pignoleria, ma l’ente che lo rilascia è la Regione Veneto, avvalendosi dei servizi di certificazione delle Poste, che è diverso dal certificato rilasciato dalle Poste Italiane in autonomia, per il quale valgono le considerazioni finora fatte).
Per quanto può valere, con la mia TS-CNS rilasciata dalla Regione Piemonte, riesco ad autenticarmi correttamente sul sito INPS, anch’io con Firefox:

TS-CNS

Per esperienza nella gestione di portali che accettano l’autenticazione CNS, consiglierei di verificare i dirver utilizzati qui (magari è già stato fatto) e di provare su un PC con diversa configurazione (sistema operativo, antivirus, firewall).
Eventualmente cercare un altro driver per carte bit4id Oberthur.
Mi rendo conto che sono indicazioni un po’ generiche, ma così a distanza non so fare di meglio…

Buona giornata…
Federico

Ho provato su vari PC sia Windows che Mac…provato browser Firefox, Chrome, Internet Explorer, drivers bit4ID corretti ( contattato assistenza bit4id e con loro sembra che la configurazione della postazione si corretta, viene letta la TS/CNS e anche il serial correttament)…in tutti la stessa situazione:
mi chiede il PIN
viene letto il certificato correttamente
dopo alcuni tentativi di handshake TLS il risultato è questo:

provato su portale INPS, AgenziaEntrate, ProgettoCNS, RegioneVeneto Sanita, etc… nessuno funziona

ssl_error

1 Mi Piace

utile il link al rep dei driver della carte. In realtà avevo gia’ provato un paio d’anni fa…ma purtroppo non funge neanche a me
Paolo

LINK

Buongiorno
abbiamo identico problema, cion la CNS della regione lazio
qualcuno cortesementae ha aggiornamenti

2 Mi Piace

Buonasera,
ringrazio anticipatamente tutti coloro i quali partecipano attivamente e con professionalità a questa community.
Ho un problema simile a quello trattato in questo thread.
Ho consultato il link sulla finta CNS di PosteCert segnalato @Paolo_Del_Romano ma sospetto non sia applicabile al mio caso.

Ho una CNS OT2015, produttore Oberthur.
Emittente:

  • CN = Regione Campania - CA Cittadini
  • OU = Servizi di Certificazione
  • O = Postecom S.p.A.
  • C = IT

Ho installato l’ultima versione dei driver per carte bit4id Oberthur e all’atto dell’autenticazione, dopo aver inserito il PIN, Chrome mi restituisce il messaggio di errore “ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED”. Altri browser su diversi sistemi operativi restituiscono errori simili.

Analizzando i dettagli del certificato vedo l’errore “The issuer of this certificate could not be found.”. Ad occhio e croce, mi pare che il problema sia riconducibile all’assenza sulla mia macchina del certificato root CA che dovrebbe essere rilasciato dall’emittente. In base alle mie ricerche, che a questo punto spero risultino incomplete, i portali della regione Campania non fanno alcun riferimento a tale certificato, il quale non viene né fornito tramite un software di installazione della CNS regionale (es. approccio del Trentino), né viene pubblicato da Postecom S.p.A. (come ad es. fa Actalis per le proprie CNS al link).

Altre regioni (ad es. la regione Marche) utilizzano CNS rilasciate da Postecom S.p.A. e sui propri portali mettono a disposizione il certificato della root CA (ad es. certificato_root_ca_marche ).

Ritenete sensata la mia analisi? Se si, qualcuno sa come/dove recuperare il certificato dell’emittente?
Grazie ancora a tutti.

Buonasera,
nel caso specifico non saprei dire se il problema possa essere dovuto all’assenza della root CA nello store del suo PC, però tutte le root CA dei fornitori di servizi fiduciari qualificati (tra cui firma elettronica qualificate e CNS) sono pubblicati a livello europeo e possono essere ricercati tramite l’applicazione Trusted List Browser.
Il certificato della root CA della Regione Campania che le interessa dovrebbe quindi essere questo:
https://webgate.ec.europa.eu/tl-browser/#/tl/IT/14/19
anche se la CA Postecom risulta tra quelle “taken over”.

HTH
Federico

Grazie mille per il riferimento, non conoscevo il Trusted List Browser!
Ho aggiunto al mio store la root CA della Regione Campania. Adesso il path di certificazione del certificato della smart card è “OK”, ma il problema di autenticazione persiste. :cold_sweat:
Probabilmente richiederò un duplicato della CNS.
Grazie per il supporto.
Mirko

Dall’errore sembrerebbe un problema di driver e middleware (bit4id), oppure hardware.
Suggerirei di provare con Firefox, che utilizza una catena diversa di driver, configurandolo come indicato per esempio qui, nella parte relativa al borwser Firefox:

Saluti
Federico

Per cortesia qualcuno può dirmi se sarà dismesso l’accesso con TSCNS?
DA QUALCHE GIORNO NEL SITO DELLA REGIONE VENETO SI LEGGE QUESTO:

No. Come si può facilmente verificare nei principali siti della PA (Agenzia delle Entrate, Inps, Inail, Noipa, etc) l’accesso è consentito in pari grado fra SPID, CIE e CNS

Così prevede l’articolo 66 del CAD e ATTUALMENTE da nessuna parte è scritto che la CNS sarà dismessa.

Io ricordo che quando è stato istituito lo SPID fu fatta una norma che prevedeva che la CNS dovesse essere dismessa ma ora quella norma non esiste più e in giro la confusione regna sovrana . Una prima ipotesi è che alcune PA (ad esempio la Regione Veneto) non si sono accorte di questa modifica .

Faccio notare che la Regione Lombardia fa diversamente dalla Regione Veneto. Eppure sono entrambe regioni del grande Nord :upside_down_face:

NELLA REGIONE LOMBARDIA

NELLA REGIONE VENETO

https://www.sanitakmzero.it/dev/informazioni-dismissione-credenziali-sanita-km-zero/

Una seconda ipotesi (è quella che fa @emmedi ) è che alcuni enti locali si basano sulla formulazione letterale delle attuali norme che non rende obbligatorio (ma meramente facoltativo) l’accesso alle PA (anche ) con le CNS.

Io penso che questi sono gli obrobri del FEDERALISMO!

Non è possibile accettare che una Regione solo per semplificare il lavoro dei suoi tecnici informatici non permetta l’accesso a tutti coloro che hanno deciso di utilizzare la Smartcard delle Camere di Commercio (che sono anche CNS) . :woman_farmer: :woman_farmer:

1 Mi Piace

Qualche settimana fa ho segnalato alla Regione Lazio che a differenza di altre Regioni non era possibile accedere ai loro servizi web attraverso anche la CNS oltre che con SPID e CIE.

Mi hanno risposto dicendomi che la responsabilità di tutto questo è imputabile all’attacco hacker del 31/7/21 :angry:

Secondo me è una risposta totalmente “fuori tema”.
Inoltre dicono anche che l’accesso via CNS nel frattempo è stato riattivato. Ho fatto la prova e non risulta vero!
Una volta erano i politici che dicevano le “bugie”. Adesso vedo che sono anche i tecnici! :roll_eyes:

Io penso che questi sono gli obrobri del FEDERALISMO!

Io penso che sia un modo per partire intanto con qualcosa di obbligatorio, poi di arrivare al resto pian piano (che sono veramente tanti gli enti che non sanno dove prendere), ma magari mi sbaglio.
Dovessi raccontarti gli obbrobri del CENTRALISMO ti scriverei un’enciclopedia. Grazia el cielo esiste il federalismo, che almeno chi ha voglia di fare le cose le può fare senza aspettare i tempi biblici di Roma (tradotto: finchè c’è il federalismo, qualcosa funziona. Se c’è il centralismo, puoi stare sicuro che non funziona niente)

1 Mi Piace