Buonasera a tutti,
seguo un progetto Java per la PA per la protocollazione che si occupa anche di verificare le firme digitali degli allegati ai protocolli.
Dopo gli ultimi aggiornamenti dei certificati, il pacchetto CNIPA preso dal comune di Trento non funziona più, ho dei problemi sul check del certificato Revocato.
In pratica non si riesce più a collegare al link:
ho un errore di Timeout. Ho risolto scaricando la lista dei crl e inserendola nel pacchetto.
Qualcuno mi può suggerire una via più semplice che utilizzi i certificati nuovi e risolva il problema ?
Utilizzando il vecchio certificato DigitPA ora funziona con questo accrocchio.
Utilizzando il nuovo AgId-Ca.cer invece no, anche con le nuove impronte.
Come mi suggerite di risolvere il problema ? per ora ho aggirato il problema ma mi capiterà di dover aggiornare la lista ogni tanto.
Il problema si può semplificare usando i seguenti servizi per la validazione ?
ti confermo che i certificati sono stati passati a sha256 e quindi è stato necessario un aggiornamento della CA AgID, mi sembra, da quel che ho capito, che ancora utilizzi i vecchi certificati giusto? . Mi occuperò di segnalare la cosa al settore competente di AgID che si occupa del progetto Firma e ti farò contattare a brevissimo.
Buongiorno Fabrizio,
ti ringrazio del supporto. Il mio problema è che con il software che sto usando per la verifica della firma digitale se provo a scaricare la lista dei certificati revoked dall’url:
va in tiemouet. Mi capita da quando il DigitPA è stato dismesso, ed è stato sostituito con il AgID-CA.
Li devo verificare tramite file allora la procedura funziona. Il problema non sono firme che sono state dimesse, ma il fatto che va in timeout se scarico dall’url che ho indicato.
Uso un pacchetto Open del comune di Trento:
it.trento.comune.j4signs
Ciao Fabrizio,
ho fatto esattamente così. Ho incluso la lista dei crl del progetto e vado avanti così.
Non sono molto eseprto di crittografia asimmetrica e non ho ben capito perchè il pacchetto Cnipa non funzioni più con il nuovo certificato, per ora ho risolto come hai suggerito
Grazie.
Vittorio
Ciao a tutti, spero di non essere OT se mi inserisco in questo thread, ma scrivo per un problema che mi pare correlato; nell’ente per cui lavoro, ci sono bandi che consentono l’accesso non solo a soggetti in possesso di spid ma anche a soggetti in grado di autenticarsi con autenticazione forte (con un certificato di autenticazione di qualche CA accreditata). Il problema è che ci risulta che in seguito all’entrata in vigore del Regolamento eIDAS, nella trusted list https://eidas.agid.gov.it/TL/TSL-IT.xml siano presenti solo cert di CA dei certificati qualificati di firma, mentre ci risulta che i nuovi certificati ausiliari di autenticazione (che dopo EIDAS non possono essere emessi sulla stessa CA della firma) non siano presenti nella lista. Il problema con cui ci scontriamo è che il processo di autenticazione forte in questo modo non è più automatizzabile in modo semplice (spesso le CA di autenticazione si possono scaricare manualmente solo dai siti delle CA; p.es. POSTECOM CA4, che è quella che usa anche il mio ente, non è esposto in una trusted list ma può essere scaricato solo dal sito di poste…).
Che voi sappiate è veramente così? Se si, esiste un modo per aggirare questo ostacolo?
Grazie comunque per qualsiasi feedback. Ciao Patrizia
Ciao,
sarà poi possibile postare qui qualche eventuale chiarimento ?
Il problema di individuare correttamente dall’elenco in https://eidas.agid.gov.it/TL/TSL-IT.xml quali certificati accettare come firma digitale e quali accettare per l’autenticazione con CNS ce lo abbiamo anche noi (e per esempio POSTECOM CA4 attualmente, non essendo nell’elenco, non la accettiamo come CNS, ma dovremmo ?..)
Approfitto per ringraziare tutti per l’ottimo lavoro che si sta facendo con questo forum.
Buiona giornata!
Federico