Problema verifica Firma digitale - PA

Buonasera a tutti,
seguo un progetto Java per la PA per la protocollazione che si occupa anche di verificare le firme digitali degli allegati ai protocolli.
Dopo gli ultimi aggiornamenti dei certificati, il pacchetto CNIPA preso dal comune di Trento non funziona più, ho dei problemi sul check del certificato Revocato.
In pratica non si riesce più a collegare al link:

https://applicazioni.cnipa.gov.it/TSL/

ho un errore di Timeout. Ho risolto scaricando la lista dei crl e inserendola nel pacchetto.
Qualcuno mi può suggerire una via più semplice che utilizzi i certificati nuovi e risolva il problema ?
Utilizzando il vecchio certificato DigitPA ora funziona con questo accrocchio.
Utilizzando il nuovo AgId-Ca.cer invece no, anche con le nuove impronte.

Come mi suggerite di risolvere il problema ? per ora ho aggirato il problema ma mi capiterà di dover aggiornare la lista ogni tanto.
Il problema si può semplificare usando i seguenti servizi per la validazione ?

https://dss.agid.gov.it/validation

Grazie dell’attenzione.
Vittorio

Ciao Vittorio,

ti confermo che i certificati sono stati passati a sha256 e quindi è stato necessario un aggiornamento della CA AgID, mi sembra, da quel che ho capito, che ancora utilizzi i vecchi certificati giusto? . Mi occuperò di segnalare la cosa al settore competente di AgID che si occupa del progetto Firma e ti farò contattare a brevissimo.

Vittorio non ho ben capito quanto hai esposto.
Se il documento che vai a verificare è stato firmato con un certificato emesso sotto una CA dismessa allora dovresti provare a rintracciare il certificato di questa CA - e possibilmente anche la sua CRL.
Se invece hai bisogno di aggiornarti continuamente i certificati a livello EU puoi seguire l’evolvere del progetto eIDAS ( https://ec.europa.eu/digital-single-market/en/eu-trusted-lists-trust-service-providers ) che fornisce un “entry point” in XML ( https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml ) dal quale arrivi alle CA nazionali (per l’Italia https://eidas.agid.gov.it/TL/TSL-IT.xml ) e da lì prosegui.

Spero ti sia utile.
Ciao

Buongiorno Fabrizio,
ti ringrazio del supporto. Il mio problema è che con il software che sto usando per la verifica della firma digitale se provo a scaricare la lista dei certificati revoked dall’url:

https://applicazioni.cnipa.gov.it/TSL/

va in tiemouet. Mi capita da quando il DigitPA è stato dismesso, ed è stato sostituito con il AgID-CA.
Li devo verificare tramite file allora la procedura funziona. Il problema non sono firme che sono state dimesse, ma il fatto che va in timeout se scarico dall’url che ho indicato.

Uso un pacchetto Open del comune di Trento:
it.trento.comune.j4signs

Comunque grazie del supporto
Vittorio

Vittorio se apri con un browser l’URL da te citata ti accorgerai che ti mostra un elenco di file utili al tuo caso.
La CRL che vai cercando dovresti ottenerla puntando il tuo software su https://applicazioni.cnipa.gov.it/TSL/IT_TSL.crl oppure https://applicazioni.cnipa.gov.it/TSL/IT_TSL2.crl

Nella cartella trovi anche i vecchi “root certificate” compressi in formato zip.

Ciao

Ciao Fabrizio,
ho fatto esattamente così. Ho incluso la lista dei crl del progetto e vado avanti così.
Non sono molto eseprto di crittografia asimmetrica e non ho ben capito perchè il pacchetto Cnipa non funzioni più con il nuovo certificato, per ora ho risolto come hai suggerito
Grazie.
Vittorio

Ciao a tutti, spero di non essere OT se mi inserisco in questo thread, ma scrivo per un problema che mi pare correlato; nell’ente per cui lavoro, ci sono bandi che consentono l’accesso non solo a soggetti in possesso di spid ma anche a soggetti in grado di autenticarsi con autenticazione forte (con un certificato di autenticazione di qualche CA accreditata). Il problema è che ci risulta che in seguito all’entrata in vigore del Regolamento eIDAS, nella trusted list https://eidas.agid.gov.it/TL/TSL-IT.xml siano presenti solo cert di CA dei certificati qualificati di firma, mentre ci risulta che i nuovi certificati ausiliari di autenticazione (che dopo EIDAS non possono essere emessi sulla stessa CA della firma) non siano presenti nella lista. Il problema con cui ci scontriamo è che il processo di autenticazione forte in questo modo non è più automatizzabile in modo semplice (spesso le CA di autenticazione si possono scaricare manualmente solo dai siti delle CA; p.es. POSTECOM CA4, che è quella che usa anche il mio ente, non è esposto in una trusted list ma può essere scaricato solo dal sito di poste…).
Che voi sappiate è veramente così? Se si, esiste un modo per aggirare questo ostacolo?

Grazie comunque per qualsiasi feedback. Ciao Patrizia

Ciao @gombiecat ho girato il tuo quesito ai colleghi di AgID e chiesto anche la collaborazione di Poste, conto di darti una risposta entro martedì.

Umberto Rosini
Agenzia per l’Italia Digitale

Ciao @Umbros, grazie per il tuo messaggio, se per caso ti arriva qualche aggiornamento su questo problema, sarebbe prezioso.

Patrizia Varini
Servizio Ict-Regione Emilia-Romagna

Ciao Patrizia,
per lunedì possiamo fare una call sulla cosa e ci sarà anche Poste.

Grazie
Umberto Rosini
Agenzia per l’Italia Digitale

Ciao,
sarà poi possibile postare qui qualche eventuale chiarimento ?
Il problema di individuare correttamente dall’elenco in https://eidas.agid.gov.it/TL/TSL-IT.xml quali certificati accettare come firma digitale e quali accettare per l’autenticazione con CNS ce lo abbiamo anche noi (e per esempio POSTECOM CA4 attualmente, non essendo nell’elenco, non la accettiamo come CNS, ma dovremmo ?..)

Approfitto per ringraziare tutti per l’ottimo lavoro che si sta facendo con questo forum.
Buiona giornata!
Federico

Ciao @FedericoA se vuoi puoi unirti anche tu a questa call
Buona giornata
Umberto Rosini
Agenzia per l’Italia Digitale

Per organizzare la call ho creato un doodle: https://doodle.com/poll/sw9bq5hn86sci8wz la call si svolgerà su un canale jitsi https://meet.jit.si/firma-pa

Ciao
Umberto Rosini
Agenzia per l’Italia Digitale

Grazie mille Umberto @Umbros. Lunedì ok a qualsiasi ora. Se usate skype il mio nick è nome.cognome.

@FedericoA: concordo pienamente.

buona giornata e grazie a tutti
Patrizia Varini
Servizio Ict-Regione Emilia-Romagna

ciao @gombiecat ho creato un doodle se dai la tua disponibilità organizzo :slight_smile: per lo strumento utilizziamo jitsi come scritto sopra.

Grazie
Umberto Rosini
Agenzia per l’Italia Digitale

Ciao a tutti, mi scuso ma per impegni di lavoro dobbiamo rimandare l’incontro tra giovedì e venerdì.
Rifarò un altro doodle entro domani.

Buona giornata

Umberto Rosini
Agenzia per l’Italia Digitale