Servicios web para consultar el catálogo de Autoridades de Certificación

El catálogo de Autoridades de Certificación de Semantic Web Trust Portal recopila de forma estructurada la información declarada en los documentos de prácticas de certificación. El catálogo puede consultarse desde la interfaz gráfica de la aplicación PKI Trust Center, siendo uno de los atributos mostrados, la valoración de confianza de cada política. Esta valoración también puede consultarse mediante una interfaz de servicios web. La consulta de la valoración de confianza de una política a través de la interfaz de servicios web REST puede hacerse en función de varios parámetros:

Un certificado de entidad final (de usuario, servidor o aplicación).
El certificado raíz de una Autoridad de Certificación.
El DN de una Autoridad de Certificación.
El OID de una política de certificación.

Servicios de consulta al catálogo de CA's

A continuación se muestra un ejemplo de obtención de la valoración de una política de certificación a partir de su OID, que se indica en la petición al servicio web:

POST /trustedx-sgw/pkitrustcenterws/rating HTTP/1.1 Host: tx_swtp Content-Length: 41 Content-Type: application/x-trustedx-certificate xml <policyoid>2.16.724.1.2.2.2.3</policyoid>

La explicación siguiente hace referencia a la respuesta generada por el servicio web de PKI Trust Center una vez enviada la petición, por lo que se debe pulsar el botón "Try" anterior para generar esta respuesta.

La respuesta tiene formato de grafo RDF y se estructura según las ontologías de seguridad y confianza de Safelayer (rating.owl, cps.owl y pki.owl). Si la política de certificación se encuentra en el catálogo, el servicio web retorna un grafo RDF cuyo recurso principal es de tipo TrustRating. Las propiedades más interesantes de este recurso son value -la valoración de la política de certificación-, date -la fecha en que se adjudicó esa valoración- y asserter -la entidad que hizo la valoración-. Si la política de certificación no se encuentra en el catálogo, el servicio web retorna un grafo RDF vacío.

En el ejemplo siguiente, en vez de indicar el OID de la política de certificación, se envía el certificado de una Autoridad de Certificación. Pulse el botón "Try" para generar la respuesta.

POST /trustedx-sgw/pkitrustcenterws/rating HTTP/1.1 Host: tx_swtp Content-Length: 2589 Content-Type: application/x-trustedx-certificate xml <cax509>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</cax509>

En este caso, la respuesta también consiste en un grafo RDF y se estructura según las mismas ontologías de seguridad y confianza. La diferencia respecto al ejemplo anterior es que la respuesta puede incluir la valoración de más de una política de certificación, dado que una Autoridad de Certificación puede emitir certificados según diversas políticas.

Si la Autoridad de Certificación a la que pertenece el certificado incluido en la petición se encuentra en el catálogo, el servicio web retorna un grafo RDF cuyo recurso principal es de tipo CertificatePracticeStatement. Este recurso puede tener asociadas varias políticas de certificación (CPSPolicy) a través de la propiedad includes, y varias autoridades de certificación, a través de la propiedad rules.

Alternativamente a un certificado de Autoridad de Certifiación también podemos enviar un certificado de entidad final, para obtener la valoración de la política de certificación con el que se ha emitido. Para probarlo, sólo debemos editar el ejemplo anterior, cambiando los tags y por y , respectivamente, y pegando el certificado de entidad final.

Finalmente, también podemos obtener una valoración de confianza a partir del nombre (Distinguished Name o DN) de una Autoridad de Certificación. Pulse el botón "Try" para generar la respuesta, que nuevamente consitirá en un grafo RDF, con el conjunto de políticas de certificación de la entidad y su correspondiente valoración.

POST /trustedx-sgw/pkitrustcenterws/rating HTTP/1.1 Host: tx_swtp Content-Length: 78 Content-Type: application/x-trustedx-certificate xml <cadn>CN=AC RAIZ DNIE, OU=DNIE, O=DIRECCION GENERAL DE LA POLICIA, C=ES</cadn>

Este servicio de consulta puede integrarse en flujos de operación más complejos, en los que se tenga en cuenta la valoración de confianza de una Autoridad de Certificación para tomar una decisión de autorización o de control de acceso. De esta forma, la validación de certificados no sólo estaría basada en una lista explícita de entidades de confianza aceptada por el usuario o el administrador del sistema (como ocurre en el caso de los sistemas operativos, navegadores, y todas las aplicaciones basadas en la infraestructura de clave pública), sino que podría ser mucho más dinámica y delegar en la opinión de los expertos en PKI que alimentan el catálogo de Autoridades de Certificación disponible en Semantic Web Trust Portal.

Este es el caso de la aplicación Interidy Identity Provider, que reconoce como atributos de identidad verificados aquellos que proceden de un certificado que a su vez ha sido emitido por una Autoridad de Certificación con una valoración de confianza que supera un determinado umbral. Por lo tanto, este proceso es dinámico desde dos puntos de vista. Por un lado, los usuarios y las aplicaciones de terceros no necesitan mantener un catálogo propio de Autoridades de Certificación reconocidas, y delegan la decisión de confianza en el catálogo de Semantic Web Trust Portal. Por otro lado, la valoración de confianza relativa a una Autoridad de Certificación se mantiene actualizada, ya que a lo largo del tiempo puede cambiar, bien sea por el envejecimiento o la obsolescencia de los parámetros criptográficos involucrados, o por nuevas exigencias en los procedimientos relativos al ciclo de vida de los certificados.

Este trabajo ha sido parcialmente subvencionado por el Ministerio de Industria, Turismo y Comercio en el marco del proyecto SAT2, referencias TSI-020100-2008-365 y TSI-020100-2009-374 del subprograma AVANZA I+D.

Investigación y desarrollo: Seguridad, confianza y privacidad

Servicios web para consultar el catálogo de Autoridades de Certificación

Artículos destacados

Artículos relacionados