Secretaría de Tecnologías para la Gestión

Ministerio de Gobierno y Reforma del Estado

Santa Fe

PROCEDIMIENTO PARA LA INSTALACIÓN

Y/Ó CONFIGURACIÓN DE LA LISTA DE REVOCACION DE LA ONTI
IFDPROC09- Versión 1.1

- Agosto 2009 –
 IFDPRC06 - Versión 1 TIPO:
PROC

FECHA CREACION: 13-01-2009

DESTINATARIO: Usuario
DOC ANTERIOR: --
DOC DEPENDIENTES:
Secretaría de Tecnologías para la Gestión

Cuando una autoridad de certificación (la ONTI por ejemplo) emite un certificado
digital, este tiene un período máximo de validez, que en nuestro caso es de un año. El
objetivo de este período de caducidad es obligar a la renovación del certificado para
adaptarlo a los cambios tecnológicos.
En el mejor de los casos, el certificado debe renovarse una vez transcurrido dicho
período, sin embargo existen otras situaciones que pueden invalidar el certificado
digital aún cuando este no ha caducado,

por ejemplo:

• El usuario del certificado cree que su clave privada ha sido comprometida.

• Desaparece la condición por la que el certificado fue expedido. Por ejemplo, la
persona se jubila o deja de participar en el proyecto al que esta asociado su
certificado digital.
• El certificado contiene información errónea o información que ha cambiado. Por
ejemplo, una errata en los apellidos.
• Etc.

En estos casos, lo que se hace es revocar el certificado dejando sin validez al

mismo a partir de ese momento. Para que el resto de los individuos que interactúan
con dicho certificado sean notificados de dicha revocación, debe existir algún
mecanismo para comprobar la validez de los certificados antes de su caducidad. Las
CRLs (Certificate Revocation List) son uno de estos mecanismos.1
Toda CRL se identifica por una URL, que es el lugar donde se publica la misma. En
nuestro caso, la URL de obtención de la CRL es
https://ca.pki.gov.ar/servlets/raweb?method=getCRL&browserID=NS
Esta URL esta incluida en los certificados emitidos por la ONTI , por lo que de este
modo, si las aplicaciones (clientes de correo, navegadores, etc.) utilizan esta
información, pueden ser notificadas de los certificados revocados. No todas las
aplicaciones utilizan la CRL de forma automática, por lo que veremos como instalarla y
activarla en las diferentes aplicaciones que se usan en IFDSF.

1 Obtenido y adaptado de es.wikipedia.org, haciendo uso de la licencia GFDL (GNU Free Documentation License).
 IFDPRC06 - Versión 1 TIPO:
PROC

FECHA CREACION: 13-01-2009

DESTINATARIO: Usuario
DOC ANTERIOR: --
DOC DEPENDIENTES:
Secretaría de Tecnologías para la Gestión

Mozilla Firefox
En el caso del navegador web Mozilla Firefox, tenemos que ir al menú Editar -->
Preferencias --> Avanzadas --> Encriptación --> Lista de revocados

Luego es necesario hacer click en Importar, y poner la URL de la CRL mencionada

anteriormente
( https://ca.pki.gov.ar/servlets/raweb?method=getCRL&browserID=NS ).
A continuación nos preguntará si queremos habilitar las actualizaciones automáticas,
le ponemos que si y nos mostrará una ventana como la siguiente
 IFDPRC06 - Versión 1 TIPO:
PROC

FECHA CREACION: 13-01-2009

DESTINATARIO: Usuario
DOC ANTERIOR: --
DOC DEPENDIENTES:
Secretaría de Tecnologías para la Gestión

donde debemos tildar las opciones “Habilitar actualización automática para esta CRL”
y especificar que dicha actualización debe realizarse una vez por día. Luego le damos
Aceptar.
Si todo salió bien, deberíamos ver algo como esto:

Por último, debemos seleccionar la CRL nuevamente y poner actualizar.

Mozilla Thunderbird
En el caso del cliente de correo Mozilla Thunderbird, tenemos que configurar
previamente el proxy, para que este pueda acceder a la URL y descargar las CRLs.
Para esto vamos a Editar --> Preferencias --> Avanzadas --> Red y espacio en disco --
> conexión . Seleccionamos "configuración manual del proxy" y ponemos en proxy
http los datos correspondientes al proxy de nuestra red.

Luego para agregar las CRLs, vamos a Editar --> Preferencias --> Avanzadas -->
 IFDPRC06 - Versión 1 TIPO:
PROC

FECHA CREACION: 13-01-2009

DESTINATARIO: Usuario
DOC ANTERIOR: --
DOC DEPENDIENTES:
Secretaría de Tecnologías para la Gestión

certificados

y hacemos click en "Lista de Revocación".

Luego hacemos click en importar, ponemos la URL de la CRL

( https://ca.pki.gov.ar/servlets/raweb?method=getCRL&browserID=NS )

A continuación nos va a preguntar si queremos activar las actualizaciones

automáticas, le ponemos que si y nos va a aparecer una pantalla donde debemos
habilitar las actualizaciones automáticas para esta CRL, tal y como hicimos con Mozilla
Firefox.
OpenOffice
En openoffice, el control de CRLs se realiza por medio de la API de Mozilla, por lo que
 IFDPRC06 - Versión 1 TIPO:
PROC

FECHA CREACION: 13-01-2009

DESTINATARIO: Usuario
DOC ANTERIOR: --
DOC DEPENDIENTES:
Secretaría de Tecnologías para la Gestión

si Mozilla Firefox y/o Mozilla Thunderbird tienen configuradas las CRLs, estas serán
usadas automáticamente por OpenOffice.

Intenet Explorer

En internet explorer 7, hay que ir a Herramientas --> Opciones de internet -->

Opciones avanzadas, y en la parte de seguridad seleccionar:

• Comprobar si se revocó certificado de servidor

• Comprobar si se revocó el certificado del editor
 IFDPRC06 - Versión 1 TIPO:
PROC

FECHA CREACION: 13-01-2009

DESTINATARIO: Usuario
DOC ANTERIOR: --
DOC DEPENDIENTES:
Secretaría de Tecnologías para la Gestión

Outlook Express
En outlook express tenemos que ir a Herramientas --> Opciones --> Seguridad -->
Opciones Avanzadas, y tildar la opción "solo durante la conexión" en la parte de
chequeos de revocaciones.