Sobre certificados digitales.

Buenos días foreros !!!

Verán, estoy pensando en realizar un website a escala internacional, en el que voy a requerir a los usuarios que para registrarse usen un certificado digital.

Yo ya tengo el DNI Electrónico, y en mi experiencia programando con estos certificados (Es poca) siempre he tenido en el certificado mi nombre, mis apellidos y mi num de dni.

Sin embargo, querria preguntar si esto es siempre asi, o por lo contrario un certificado digital no tiene por que tener estos datos teniendo simplemente un numero de serie unico que esté relacionado con un numero de identidad de una persona (Por medio de su respectivo gobierno).

Bien, esa es mi primera duda, y la segunda que esta totalmente relacionada con la primera es que mi intención es recoger de dichos certificados digitales el numero de identidad (En españa el DNI), el nombre y los apellidos de la persona, y si en la 1ª pregunta me responden que un Certificado digital no tiene por que tener el nombre, apellidos, dni, etc. ¿Qué dato podría guardar del certificado digital que sea igual en todos y que me sirva para en un futuro corrovarar que esa persona es quien dice ser?

En fin, espero haberme explicado y puedan responderme.

Muchas gracias y un saludo.

Tu unica garantia es la de la CA que lo emite. Por ejemplo, el DNIe te da esos datos y tu sabes que previamente la policia ha comprobado la identidad de quien los tiene. La FNMT da certificados y Hacienda previamente comprueba la identidad de quien lo pide. Esa es tu garantia.

Yo tengo una CA instalada para pruebas y tengo certificados sin identidad. El certificado es simplemente un fichero.

Tu tienes que tener claro qué entidades estableces como de confianza, y fuera de eso no permitir conexiones. Si solo requieres que el usuario presente un certificado, dando igual de donde provenga, mal asunto.

Un saludo
Hooker

Bueno, entiendo que cada DNIe tendrá que estar registrado en alguna empresa de certificacion, ¿Verdad?

Es decir, al igual que los certificados de servidores con soporte SSL, que estan registrados en empresas como Virgin, para asi dar total seguridad a los navegadores. Me imagino que los Certificados de DNIe también estarán registrados de esa forma, para dar veracidad del certificado ¿No?

Asi, si alguna persona se crea un certificado a mano en su equipo, podrá usarlo para programar o lo que sea, pero al no estar registrado en una empresa de estas... no tendría validez, ¿No es asi como podria solucionar el problema?

El DNI esta creado por la CA de la Policia, hay 3.

El probema de esto es el enorme desconocimiento que hay entre la gente. La cosa esta en ese mensaje que aparece cuando uno usa un certificado emitido por una CA que no es de confianza. La mayoria de la gente, como no sabe lo que le peguntan, cide que si y termina añadiedno la CA chunga a la lista de CA's de confianza.

El problema de la "validez" es que es un problema juridico, no informatico.

Hooker

Ok, pero me imagino que habrá alguna posibilidad de hacer (Como hace el iexplore diciendote si un sitio es de confianza o no) una comprobación mediante programacion para saber si ese c ertificado es de confianza o no, ¿Verdad?

Asi, si tu en mi aplicacion seleccionas para entrar un certificado creado por ti, sin que te lo haya validado ningúna CA, mi programa podría saber si esta validado por alguna CA o no... ¿No?

A todo esto, muchas gracias por tus respuestas.

Primero habria de aclarar lo sigiente :

1-Que un certificado para lo unico que sirve es para mantener una comunicaciòn segura entre un servidor y una estaciòn cualquiera .

2-La programaciòn de un aplicativo con o sin certificado no varia , es la misma.

2-El certificado no valida la identidad de la estación que se conecta al servidor.

3-Existen Entidades encargadas de emitir estos certificados para lo cual verifican previamente la validez del origen.

4-Normalmente Las entidades certificadoras comerciales distribuyen sus certificados de origen con los sistemas operativos es asi como el browser(internet explore,Firefox,etc) reconoce estos certificados.

5-Si el certificado no es emitido por una entidad certificadora reconocida , el SO , mas exactamente el browser de dara una advertencia , sin embargo siempre de dara la opciòn de poder instalar el certifado de origen de tù entidad certificadora.


Saludos

Hay un protocolo que se llama OCSP que sirve para interrogar a las CA's sobre si un certificado esta o no validado. Poco puedo ayudarte en temas de programación porque no me dedico a eso. En mi caso, la lista de CA's autorizadas para validar el origen de las peticiones se hace a través de un proxy inverso que se llama WebSeal (IBM).

Yo recuerdo que en su momento, en un servidor IIS se podia proteger el acceso a carpetas diciendo que determinado campo de un certificado tenga un valor concreto o contenga una cadena de caracteres específica. De ahi a poder tratar eso via Visual, Deplhi, C++ etc es algo que desconozco.

Por lo demás coincido plenamente con lo que dice Miguel J.

Saludos
Hooker