« Volver a Uso de la aplicación

Servidor OCSP de la FNMT

Vista combinada Visión Plana Vista de árbol
Discusiones [ Anterior | Siguiente ]
toggle
Hola
¿ Funciona la opción de validación utilizando el servidor OCSP de la FNMT ?
El programa se ejecuta en windows xp.
Utilizo un certificado personal otorgado por la FNMT
No me deja validarlo

Muchas gracias por leer el mensaje y por el programa
salud
Jorge
Buenas:

echale un vistazo a este hilo

http://www.sinadura.net/foro/-/message_boards/message/89267

como verás parece que la FNMT tiene los ocps cerrados por lo que sinadura no pude acceder para validar los certificados. Así que para FMNT se puede hacer firma avanzada reconocida con sello de tiempo.
Hola

Gracias por contestar

En la página web de CERES dicen

"La empresa, a través de su cliente OCSP, se conecta al Servidor OCSP de Ceres para realizar las consultas sobre la validez de los certificados que desea comprobar. Dicho servidor envía una respuesta firmada sobre el estado de los certificados, como prueba documental que garantiza la validez de la transacción. "

Acabo de hablar con CERES (902181696)

Me dicen que
- el servidor OCPS no esta cerrado por ser público
- cuando les hablo de un cliente OCPS que permita comprobar lo que me dicen me remiten a que les envie un email

Eso haré, pero me gustaría que opinaseis sobre el asunto

saludos
Jorge
Buenas:

El tema de que está cerrado lo he leido varias veces. Igual han cambiado y está abierto. Si puedes pasa la url del ocsp server (la VA) y le echamos un vistazo. Yo lo que tenía entendido es que para realizar validaciones ocps utilizando la VA de FNMT hay que pagar. No se mucho más de este tema, pero si que me interesa saberlo directamente de la gente de FNMT.
Para mirar el nodo en el certificado se puede hacer desde el adobe reader. Si firmas un documento (con sinadura, sin validación ocsp) y lo abres con el adobe reader puede mirar sus nodos y ver el valor del ocps server al que se está intentando conectar. Si está abierto debería aparecer algo como en el de izenpe http://ocsp.izenpe.com:8094 al acceder desde el navegador web.

un saludo
--gustavo
he leido en un BOE http://www.boe.es/boe/dias/2006/03/07/pdfs/A09235-09236.pdf lo siguiente (gracias a fernando acero kriptopolis por la informció):

8. OCSP.–Estos servicios se valoran desde una cuota de entrada, un canon anual de mantenimiento. La emisión de certificados es sin límite y no tiene coste. Si bien la consulta OCSP incorpora un coste variable.

.....

Validación de certificados a través de OCSP. Esta cuota de alta da derecho a usar el servicio de OCSP en las siguientes condiciones: Acceso al OCSP responder de la FNMT-RCM.
....


un saludo
--gustavo
La pregunta seria ahora:
Es valida una factura firmada digitalmente pero que no ha sido validado el certificado por el servidor OCSP???

Gracias
Buenas:

En realidad es obligación del receptor validar la factura, no del emisor.... válida yo diría que es válida aunque no se valide, siempre que no esté revocado el certificado. De todas formas si le pones sello de tiempo en un posible litigio siempre se podrá validar el estado de revocación del certificado en ese momento y comprobar que cuando se firmó realmente (que se indica con la marca de tiempo) el certificado no estaba revocado. Eso si yo soy desarrollador u no abogado. ;-).

un saludo
--gustavo (zylk.net / sinadura Team)
Lo prometido es deuda
Esto es lo que me ha contestado la gente del FNMT
-----------------------------------------------------------------
Le ruego que disculpe el retraso en dar contestación a su consulta. Analizaremos cual ha sido la causa de dicha incidencia para intentar que no vuelva a repetirse.
En relación a su consulta le confirmo que para poder acceder a nuestro servicio de validación OCSP es necesaria la formalización de un contrato entre su organismo y la FNMT. Este servicio le permitirá conocer el estado de todos cualquier certificado de clase 2CA (personas físicas y personas jurídicas) emitido por la FNMT
Adjunto le envío un documento explicativo sobre cómo acceder al servicio. Su precio es de 18.000€/año+IVA e incluye 50.000 validaciones anuales.
-----------------------------------------------------------------
Hola a todos,

Respecto a todo lo que habeis comentado, alguien me sabría decir si se puede validar un certificado de carmerFirma contra el OCSP de FNMT???. O todo certificado debe ser validado contra los servicios de la entidad que lo emitió. Esto es clave ya que, en un entorno donde se recibien documentos firmados desde diferentes entidades tu no puedes obligar a que todos utilicen la misma entidad certificadora y puedes recibir cualquier tipo de certificado.... entonces como validas que no esté revocado?

Muchas gracias por vuestras respuestas.

Saludos.
que yo recuede en principio si que se debería poder o por el menos el protocolo de validación si que lo contempla como posibilidad. Pero me suena que las pruebas que hice contra el ocps de dnie no permitía más que validar los certificados del dnie.
En cualquier caso lo que es raro en este caso es que te cobren por la validación OCSP. Creo, y no estoy seguro, que es ilegal.

Por otro lado las empresas que necesitas lo que comentas, hacen uso de plataformas de validación tipo @firma, zain, trustedx

un saludo
--gustavo (sinadura Team / zylk.net)
Gracias por tu respuesta.

Te comento.

Tengo que implementar la recepción de facturas electrónicas en un cliente que utiliza como plataforma ipsCA. Este cliente tiene un certificado de la FNMT.

El tema está en que la facturas de los proveedores te pueden venir firmadas con cualquier certificado aceptado por AEAT, o sea, la Agencia Tributaria.

En respuestas anteriores he creido entender que para validar certificados (Listas de revocacion, etc..) la FNMT te cobra 18.000 euros para un paquete de 50.000 validaciones. Claro, mi duda está en que si mi cliente paga este paquete ¿qué certificados puede validar contra la FNMT? ¿Sólo aquellos emitidos por la FNMT? ¿Los de cualquier Entidad de Certificación?....

Por otro lado, si no quiero pagar este servicio y me remito a Camerfirma (cuyos servicios son gratuitos pues sólo cobran por emitir el certificado) ¿Puedo validar un certificado emitido por la FNMT contra Camerfirma?

No se, quizás me estoy liando, pero no lo tengo nada claro y aunque escribo a Soporte FNMT y a Soporte Camerfirma, NO me responden.....

Si alguien me pudiese aclarar estos temas o decirme como lo han hecho.... un favor tremendo....

Gracias.
Os comento un correo que nos envió la AEAT en respuesta a facturas firmadas por la FNMT y otras cuestiones


1.- Los certificados emitidos por las Entidades acreditadas por la AEAT, admitidos como válidos para trámites tributarios, en su caso la FNMT, conforme a la Orden HAC/1181/2003 de 12 de mayo, también se consideran admisibles para la firma electrónica de facturas.

El formato contenedor de la factura, esto es, aquel fichero donde se almacenan los datos que conforman la factura antes de aplicarles la firma electrónica, desde un punto de vista meramente legal, en principio no tiene ninguna relevancia. Podría tratarse de un PDF, un documento Word o Excel, texto plano, HTML, XML, etc. Cualquier formato empleado es válido siempre que posteriormente sea firmado electrónicamente para dotarlo de validez legal y esta firma electrónica cumpla los requisitos exigidos en la normativa tributaria:

- Firma electrónica reconocida, de conformidad con lo dispuesto en el artículo 18.1.a) del RD 1496/2003 y artículo 2.2 de la Orden EHA/962/2007.
- Un sistema de firma electrónica avanzada autorizada por la AEAT en virtud de lo dispuesto en el artículo 18.1.c) del RD 1496/2003, desarrollado por el artículo 3 de la Orden EHA/962/2007.

Cuando el destinatario sea un Departamento ministerial de la Administración General del Estado, o uno de sus organismos públicos vinculados o dependientes, que haya hecho público su consentimiento para recibir facturas electrónicas, será necesario utilizar el formato ?Facturae?, en virtud de lo dispuesto en la Orden PRE/2971/2007 (BOE 15/10/2007), que entró en vigor el 16 de octubre de 2007.


2.- La Orden EHA/962/2007 establece que la obligación de remisión y conservación de facturas o documentos sustitutivos, podrá ser cumplida por medios electrónicos que garanticen la autenticidad del origen y la integridad de su contenido.

Por lo tanto, siempre que se asegure tal autenticidad e integridad es independiente el momento en que se realice el proceso de firma que siempre será anterior a la transmisión de la factura electrónica.


3.- Si por razones técnicas el servicio de firma falla, dicha factura enviada no garantiza la autenticidad del origen y la integridad de su contenido, por lo que la factura no se considera correctamente expedida hasta que se subsane la incidencia.


4.- La Orden EHA/962/2007 , de 10 de abril, en su artículo 2 dice textualmente:

"Artículo 2. Remisión de facturas y documentos sustitutivos.

1.-De acuerdo con el artículo 17 del Reglamento por el que se regulan las obligaciones de facturación, la obligación de remisión de las facturas o documentos sustitutivos podrá ser cumplida por medios electrónicos que garanticen la autenticidad del origen y la integridad de su contenido, siempre que el DESTINATARIO HAYA DADO SU CONSENTIMIENTO.

El consentimiento podrá formularse de forma expresa por cualquier medio, verbal o escrito. En cualquier momento el destinatario que esté recibiendo facturas o documentos sustitutivos electrónicos podrá comunicar al proveedor su deseo de recibirlos en papel. En tal caso, el proveedor deberá respetar el derecho de su cliente y proceder en el sentido solicitado a partir de la recepción de dicho comunicado.

La expedición de documentos en un soporte dado, en papel o electrónico, no condicionará el medio por el que deban remitirse en un momento ulterior al mismo destinatario, o el medio por el que se deban remitir las facturas rectificativas relacionadas con aquellos, o los duplicados de facturas remitidas con anterioridad."

Si el receptor de la factura presta su consentimiento a recibirla por medios electrónicos, también debe asumir las obligaciones que ello implica, entre ellas la verificación de la firma electrónica de las facturas electrónicas recibidas. Si se limita a imprimir el documento electrónico recibido no estará cumpliendo con la anterior obligación.


5.- La obligación de conservación de facturas o documentos sustitutivos y otros documentos, y la conservación de estos documentos por medios electrónicos, aparece reflejado en los artículos 19 y 21 del Reglamento de Facturación aprobado por el Real Decreto 1496/2003, de 28 de noviembre.

Las obligaciones de los destinatarios y emisores en la conservación de las facturas y documentos sustitutivos aparecen reflejadas en los artículos 5 y 6 respectivamente, de la ORDEN EHA/962/2007, de 10 de abril.

El destinatario debe conservar las facturas recibidas en el formato y soporte original (salvo conversiones de formato admitidas legalmente) y, en caso de recibir facturas electrónicas, debe conservar también las firmas electrónicas asociadas a cada factura, cuando no estén incluidas en el propio fichero de la factura.

En el ejemplo expuesto se envían, en realidad, 2 firmas electrónicas distintas:

- La firma que asegura todo el documento Adobe-PDF
- La firma "embebida" en el código de puntos PDF-417 que asegura los datos que se consideró oportuno firmar por parte del emisor y que, a priori, son desconocidos por el receptor.

Si el receptor se limita a imprimir el documento Adobe-PDF recibido, para su conservación en soporte papel, se está ante un escenario atípico y que no se ajusta al supuesto previsto en el artículo 8 de la Orden EHA/962/2007, dado que ese artículo exige que, si la firma electrónica de la factura recibida está embebida en el fichero que contiene la factura, la marca gráfica impresa por el receptor debe contener "todos los datos del fichero o formato de firma electrónica". En definitiva se trata de asegurar que el receptor está en condiciones de reconstruir, a partir del código de puntos PDF-417, el fichero originalmente recibido, cosa que no sucede en el ejemplo planteado, puesto que el receptor no será capaz de regenerar el documento Adobe-PDF recibido a partir de la copia impresa del mismo, sino que podría reconstruir (leyendo la marca PDF417) un documento distinto que el emisor incorporó como una parte del fichero Adobe-PDF y codificó en PDF-417.

Una forma muy simple de evidenciar lo anterior es la siguiente: inicialmente se recibió un documento que contenía 2 firmas electrónicas (una aseguraba el documento Adobe-PDF en su conjunto y la otra, embebida en el código de puntos PDF417, aseguraba únicamente los datos codificados en el interior de esa marca gráfica) y la lectura del código PDF-417 daría como resultado otro documento DISTINTO, que contiene una única firma electrónica (la que asegura únicamente los datos codificados en el interior de esa marca gráfica).


6.- Tal como le hemos indicado anteriormente, el destinatario debe conservar las facturas recibidas en el formato y soporte original (salvo conversiones de formato admitidas legalmente). Una de estas conversiones de formato admitidas es precisamente la digitalización, si bien el proceso debe ajustarse a lo previsto en el artículo 7 de la Orden EHA/962/2007, de 10 de abril, lo que implica la obligatoriedad de utilizar un software homologado por la AEAT.

Si no desean utilizar un software de un tercero, pueden desarrollar y homologar su propia solución. En el artículo 7.3 de la Orden EHA/962/2007, se establecen los trámites que deben cumplir las entidades desarrolladoras que deseen homologar software de digitalización.


Atentamente,
AEAT



"Esta respuesta tiene sólo valor informativo. Para obtener una respuesta oficial con valor vinculante, es necesario seguir el procedimiento descrito en los artículos 88 y 89 de la Ley General Tributaria 58/2003."

Consulta:
Buenos dias,

Las preguntas son sobre efactura en formato distinto a facturae(XML con
firma Xades):
Son preguntas sobre documentos PDF firmados:


1º se puede fimar digitalmente una efactura (PDF con un certificado FNMT)?
2º Se puede firmar digitalmente con fechas distintas a la generación del
documento electronico (PDF) y en su caso a fecha de emisión de factura
Ejemplo : un usuario se encarga de facturar y otro al cabo del
tiempo las firma digitalmente antes de enviarlas por medios telematicos
3º Si por razones tecnicas (el servico de firma de la aplicación falla)
se puede firmar a posteriori y volver a enviar ó poner a disposición de
web??
4º Si envio una factura firmada y con codigo PDF417 y el cliente me dice
que quiere la normal . puedo decirle que el PDF417 junto con la imagen
le es valido??
5º Tiene obligación el receptor que no va almacenar en digital disponer
de lector PDF417 si la ha verificado previamente antes de imprimirla. ??
6º Puedo escanear un documeto ó factura recibida no telematicamente a
formato PDF con un escaner (TWAIN) y firmarla con mi certificado FNMT y
hacerla valida??
para sustituir el documento en papel (se que a priori debe haber una
homologación del software) pero hay algo mas al respecto (es para
evitar a los usuarios costes
muy altos de software homologados y que realizan la misma función
que otros salvo que estos no estan en la lista de la AEAT), aparte de
evitar los tramites y los 6 meses minimos de espera.


Si teneis mas información al respecto (aparte de la que hay colgada), ya
que pronto sera´obligatoiria la facturae par gestiones con
Administraciones(salvo la grandes que ya lo estan) y a su vez fomentar
el l tema , os lo agradeceria bastante.


Dando las gracias por todo
Atentamete
Jose Manuel Hernandez
-- -------------------------------------------------------------------------------------------------------------- Si su incidencia ha quedado resuelta no responda a este correo. Gracias


Para vuestra información la AEAT tiene un servicio de firma de los mas legal del mundo ya que es de ella donde firma facturae
genera fichero .F64 Y NI HACE OSCP NI TIEMPO DE FIRMA NI OTRAS HISTORIAS , ES MAS USAN EL RELOJ DEL ORDENADOR . Y PUNTO
Y DICE QUE CON ESO Y FIRMADO CON UNA FNMT VULGAR LES VALE (Por lo menos el tema de facturae)


Saludos
Se me olvidaba , la AEAT tiene un servicio de validación de facturae
Creo que a este hilo conviene añadirle la siguiente noticia, y es que

"La Comisión Nacional de Competencia abre expediente sancionador contra la Fábrica Nacional de la Moneda y Timbre por presuntos comportamientos contrarios a la competencia"

También es interesante lo que dice sobre lo que pone en la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos:

"Los certificados electrónicos reconocidos emitidos por prestadores de servicios de certificación serán admitidos por las Administraciones Públicas como válidos para relacionarse con las mismas, siempre y cuando el prestador de servicios de certificación ponga a disposición de las Administraciones Públicas la información que sea precisa en condiciones que resulten tecnológicamente viables y sin que suponga coste alguno para aquellas"

http://administracionbeta.blogspot.com/2010/10/la-comision-nacional-de-la-competencia.html

En mi caso es una pena que sólo hable de gratuidad para las administraciones públicas.
gracias por la información.
Hola:

La situación parece haber cambiado, y lo que ya apuntara Julián Inza, ha cambiado, como señala (no sin razón algo escéptico) Ismael Olea , pese a sus advertencias de que no le queda claro que esté funcionando como se va comentando (más bien como una solicitud de ayuda a su tan sana como imparable curiosidad)...

Por mi parte he probado a intentar añadir el OCSP de la FNMT al Sinadura. Entiendo que lo único que hay que hacer para ello es añadir a Sinadura los certificados raíz (todos los que están en el apartado "Certificados de Servicios" y que comienzan por OCSP. Aquí me vienen las dudas (que son dos):

1) Aunque en principio para mi certificado de usuario (con el que firmo, que dice "Unidad Organizativa (OU): FNMT Clase 2 CA") debería bastar con el "CERTIFICADO OCSP de Clase 2 CA", yo por si acaso los cargo todos en el Sinadura.

2) Los certificados en Sinadura se pueden instalar en dos repositorios distintos, ambos dentro del menú Archivo/Preferencias/Validación. Pueden cargarse bien en "Confianza", bien en "Cache" (¿caché?). Entiendo que debe ser en esta última, pero por si acaso los incorporo a los dos lados (entiendo que no debe dar ningún problema, aunque sería razonable eliminarlo del sitio inadecuado). Hecho esto, me sigue dando error la firma (con todas las opciones habilitadas, ciertamente, validación de política de firma y de estado de los certificados (en Validación), así como sellado de tiempo (esto ya estaba resuelto con la ACCV) y validación del estado de los certificados [de firma] (en Firma).

El resultado es "No ha sido posible obtener del certificado la url para realizar la validación ocsp. Los documentos no se firmarán." ¿Tal vez necesito un nuevo certificado que sí incorpore la ruta del ocsp?

¿Alguna idea?

Saludos,

Luis. GNUSocial: @lfajardo

P.D: Efectivamente, he seguido haciendo pruebas. He podido disponer de un certificado más reciente que el mío, y ya incorpora la ruta del ocsp. El error es ahora otro: "Se ha producido un error al realizar la conexión al servidor OCSP. Los documentos no se firmarán. Error: estado invalido en la respuesta ocsp. status: 5".
En el certificado con el que estoy firmando en Extensiones / Acceso la información de la autoridad, se lee:
OCSP: URI: http://ocspusu.cert.fnmt.es/ocspusu/OcspResponder
Emisores CA: URI: http://www.cert.fnmt.es/certs/ACUSU.crt
Seguiré experimentando... Se agradecen comentarios o ideas.
Es una muy buena noticia... habrá que revisar el proceso de firma con ocps que hasta ahora no se había podido realizar. En sinadura lo que se hace es

1) Leer el certificado firmante y buscar el nodo del certificado en que se indica la ocsp (el endpoint de validación).
2) Si existe ese nodo se lanza una petición ocps al endpoint que se indica en ese nodo.
3) Si todo va bien se añade al tipo de firma que se esté realizando.


Así que lo primero que parece indicar es que el certificado firmante no tiene la información que buscamos o algo así. Además se validan todas las firmas desde el punto de vista de la confianza es decir si una firma está firmada por un certifcado A y que esta emitido por la CA subordinda CA1 a su vez emitido por la CA Raiz R1, lo que se hace es

Completar la chain usando los certificados del almacen de cache y ver si el raiz está en los de confianza ... se hace así porque no siempre las firmas llevan toda la chain incluida en la firma..

Espero que haya quedao más claro lo que se hace y a ver si entre todos podemos comprobar que las firmas de la FNMT se generan correctamente y el acceso a la ocsp es abierto.

muchas gracias por la información y seguimos en contacto.