Cuando una empresa privada se plantea la posibilidad de emplear el DNIe como elemento de autenticación para sus clientes en la web, especialmente aquellas que disponen de miles o incluso millones de clientes y prestan servicios habituales por Internet (vamos la Banca Electrónica), se encontrarán con un problema derivado que merece la pena analizar.
Si una gran parte de los clientes llegasen a utilizar el DNIe para autenticarse, y en virtud del uso recomendado, en cada transacción de autenticación se realizase una verificación del estado de revocación del certificado empleado para la autenticación, sería necesaria realizar una consulta al servicio público de consulta del estado de revocación del DNIe (http://ocsp.dnielectronico.es/) y gestionado actualmente por la FNMT-RCM.
Esto supone que el acceso a los servicios online de dichas entidades dependerán de los servicios que presta un tercero (en este caso la FNMT-RCM) y de los cuales no existe un SLA formal para garantizar su dimensionamiento y rendimiento esperados.
Parece que algunas asociaciones llevan varios años reclamando a la DGP la posibilidad de descarga de dichas CRL o listas de certificados revocados, para poder realizar dicha consulta bien localmente o bien a sistemas preparados para la alta carga de transacciones esperadas y con acuerdos de nivel de servicio.
Esta opción la ofrece la FNMT para sus certificados CERES, aunque requiere la firma de un convenio o encomienda de gestión con la FNMT y que supone una contraprestación económica en virtud del modelo de negocio de CERES que no cobra por la emisión de los certificados pero si lo hace a las empresas u organismos que necesitan verificar la revocación de los certificados (para los ciudadanos es gratuito a través de su página web).
La posibilidad de contar con las CRLs del DNIe parece una opcion necesaria e interesante, y a priori no supone riesgo adicional si se mantiene una distribución controlada y los ficheros CRL van firmados para asegurar su integridad. Asumo que esta posibilidad no ha implementado por que ello supone una modificación en los sistemas del DNIe.
Un saludo
Rames
No hay comentarios:
Publicar un comentario