menu di navigazione del network

Accesso tramite CNS/CIE


(Marco) #1

Salve,

stiamo avendo dei problemi con la gestione degli accessi tramite carta nazionale dei servizi e carta identità elettronica ai nostri sistemi.

In particolare, ci risulta difficoltoso individuare uno standard per la distinzione dei DN dei Subject dei certificati coi quali si autenticano gli utenti.
Per ora, abbiamo rilevato 3 diversi modelli di DN:

  • C=IT,CN=COGNOME NOME,SERIAL=TINIT-CODICE_FISCALE,G=NOME,SN=COGNOME,DNQ=ID_DNQ C=IT,O=ArubaPEC S.p.A.,OU=Certification AuthorityC,CN=ArubaPEC S.p.A. NG CA 3

  • CN=CODICE_FISCALE/ID_CARTA.HASH_CARTA,SERIAL=IT:CODICE_FISCALE,G=NOME,SN=COGNOME,O=Progetto CNS Arubapec/Unical,OU=Universita’ della Calabria,C=IT

  • C=IT,O=Non Dichiarato,OU=PROVINCIA DI PADOVA,CN=CODICE_FISCALE/ID_CARTA.HASH_CARTA,EMAIL=EMAIL@MAIL.COM,DNQ=ID_DNQ,SERIAL=CODICE_FISCALE,SN=COGNOME,G=NOME

I primi due DN sono stati presi da una CNS Aruba; in particolare, il primo dn viene presentato quando si utilizza un certificato rilasciato per la firma digitale, quindi tecnicamente non dovrebbe essere usato per identificare un soggetto?
Il secondo, invece, è esattamente nella forma proposta da agid (paragrafo 5.1 di https://www.agid.gov.it/sites/default/files/repository_files/documentazione_trasparenza/strutturacertificatoautenticazionecns_v1.1_.pdf).

Il terzo, invece, non ha il codice della Nazione nell’attributo SERIALNUMBER.

Esistono delle linee guida che definiscono la forma del DN da presentare e di conseguenza validare quando si tratta di identificazione tramite CNS/CIE?

Cosa si dovrebbe fare nel caso in cui i DN non rispettino tale standard? Va negato l’accesso alle risorse richieste?

Grazie.

Marco


(Daniele Crespi) #2

Sei sicuro che siano tutte e tre delle CNS ?
Il fatto che siano emesse da una ROOT CA censita tra quelle che emettono CNS non è di per sè una garanzia che sia una CNS , ahimè … ma tralascio questo problema

Per essere certo che sia una CNS l’unica VERA garanzia è che il certificato abbia l’object id “1.3.76.16.2.1” e il qualifier “userNotice” di tipo “explicitText”
con il seguente contenuto: ”Identifies X.509 authentication certificates issued for the italian National Service Card (CNS) project in according to the italian regulation”

solo in quel caso si tratta di una CNS

esistono da anni sul mercato carte di firma digitale contenenti certificati di autenticazione “like CNS” emessi dalla stessa ROOT CA che emette certificati CNS , ma che CNS non lo sono

in quel caso la struttura del SubjectDN potrebbe differire

fai questo check

ciao
Daniele