Se si acquista un certificato di firma elettronico da una Certification Authority fiduciara eIDAS e rientra nella sua scadenza, il più delle volte il certificato è valido.
Tuttavia ci sono delle eccezioni da verificare, come la possibile revoca, non così infrequente.
Quindi la verifica del proprio certificato è purtroppo un altro compito che dovrebbe aggiungersi alla nostra routine.
FeX ti agevola in questo compito con un validatore che entra in azione nella pagina della verifica e il documento che carichi, non deve essere necessariamente una fattura, ma un file firmato, quelli normalmente con estensione del file "p7m".
Così con FeX potrai verificare lo stato del tuo certificato, con qualsiasi file che hai firmato digitalmente, in qualsiasi momento e in un attimo.
Integrità
Un certificato viene considerato integro quando è leggibile e possono essere estratti i dati all'interno, come quelli relativi all'Ente Certificatore e quelli del titolare del certificato. La firma deve essere apposta nel periodo di validità ed il certificato deve essere nel formato atteso (CMS CAdES-BES).
Chain
La verifica della catena dei certificati è un argomento complesso per essere trattato per intero in questo articolo.
In modo particolarmente semplificato occorre immaginare che ogni certificato è immerso in una sua gerarchia, dove il certificato del titolare deve puntare verso quelli dei genitori (root) della Certification Authority.
La catena si rompe nel caso in cui anche un solo certificato manchi all'analisi, o più semplicemente non sia "integro" o non partecipi in questa catena.
Ogni certificato dovrebbe essere contrassegnato dall'URI dove reperire i certificati di root, inoltre eIDAS aiuta in modo sostanziale fornendo per ogni nazione la lista dei certificati di root validi. Per questo motivo non dovrebbe mai essere un problema per il validatore di firme, reperire i corretti certificati di root e provvedere alla verifica della catena, sempre che si tratti di un certificato valido.
Nel nostro validatore, durante la verifica della catena, si va anche a rintracciare se il certificato sia agli effetti tra quelli presenti negli elenchi eIDAS, appunto per confermare che la Certification Authority è nella lista dei fiduciari.
Verifica OCSP
Esistono due tipi di verifiche per sincerarsi che un certificato non sia revocato, la CRL e la OCSP.
La verifica CRL è desueta, ma ancora utilizzata qualora la verifica OCSP non sia possibile, circostanza che accade spesso per i certificati più vecchi.
La CRL è stata superata dalla OCSP, perchè, per la verifica, costringe a scaricare tutto l'elenco dei certificati revocati che a volte può anche essere superiore ai 100Mb, mentre la verifica OCSP corrisponde ad una semplice richiesta client/server, formulata strettamente per conoscere la situazione del certificato specifico, quindi una transazione di pochi byte.
Nella verifica OCSP/CRL viene rilevata la data dell'eventuale revoca e la rispettiva causale.
Il nostro validatore, in caso non sia possibile la verifica OCSP, procede con la CRL e se non trova la revoca in quest'ultima, da esito positivo alla verifica. Notare bene che sebbene questa sia una soluzione adottata anche da altri validatori, non esclude che la CA potrebbe non avere aggiornato i dati CRL (magari puntando sulla OCSP) e quindi non siamo totalmente sicuri che quel certificato non sia effettivamente revocato. Certezza che invece ci viene quando la verifica OCSP ha successo.
Validità Legale
La Certification Authority è tenuta ad emettere la politica contrattuale per la gestione dei certificati sul proprio sito WEB ed ogni certificato deve riportare l'URI dove sono reperibili tali condizioni. Se la Certification Authority ha assolto correttamente a questi compiti, la firma acquisice piena validità legale, invece in mancanza di questi, il certificato perde anche la conformità eIDAS.
eIDAS
AgID seguendo le iniziative di eIDAS ha annunciato una serie di determinazioni sui requisiti di cui devono disporre i Certificati Digitali di Firma.
In modo semplificato e da un punto di vista tecnico, un certificato per essere conforme eIDAS deve rispettare i 4 aspetti appena enunciati (integrità, chain, OCSP, legale) più rispettare la presenza di alcuni attributi, come il "SigningCertificate" e "MessageDigest".
Un certificato conforme eIDAS lo potremmo utilizzare in qualsiasi contesto e dovrà essere sempre ritenuto valido nell'ambito della Comunità Europea.
In caso FeX rilevi problemi con il tuo certificato, sebbene siamo certi della qualità del nostro strumento, ti consigliamo sempre di verificare con un altro validatore per comparare i risultati.
Conformità dei certificati di firma su Fattura Elettronica
Sono 7 i tipi di errore che SdI rileva nei suoi controlli per i certificati di firma: 00100, 00101, 00103, 00104, 00105 e 00107 e sono 12 gli errori o segnalazioni che FeX effettua allo stesso riguardo (dal 497 al 506 più 169 e 174).
Quelllo che è importante sapere è che nessuno di questi errori si aziona, quando il certificato è gli effetti conforme eIDAS ed è vero anche in forma inversa "un certificato non conforme eIDAS riporta almeno un errore SdI/FeX". Ciò con la sola eccezione dei certificati emessi dalla Agenzia delle Entrate che non essendo una Certification Authority accreditata, non può emettere certificati conformi eIDAS, ma al tempo stesso vanta la validità dei suoi certificati per la tramisssione ai sistemi SdI (in tal caso FeX in fase di verifica riporterà delle annotazioni a riguardo).
Come ti può aiutare il validatore di firme su FeX
Crediamo che il nostro validatore di firme sia in assoluto il più avanzato perchè pur entrando nei più minuti dettagli, riesce ad eseguire i controlli in tempi velocissimi ed al tempo stesso prospettare all'utente una chiara situazione del suo certificato, in un colpo d'occhio.
Quando poi il certificato ha un qualche tipo di problema, le verifiche si infittiscono ulteriormente per dare quanto più possibile una situazione reale del certificato.
Il nostro validatore si differenzia da tutti gli altri, per provvedere ad una verifica direttamente alla data della firma, mentre per altri validatori, richiedono una specifica seconda operazione per questo tipo di verifica.
A differenza di validatori IDE, il nostro non richiede l'aggiornamento continuo dei certificati (operazione che normalmente richiede alcuni minuti), perchè FeX esegue questo aggiornamento internamente senza recare ritardi all'utente.
Insomma il validatore di FeX è sempre pronto per fornirti in un attimo la più chiara ed esatta situazione possibile per il tuo certificato.
