Ir al contenido

Próximamente estarán disponibles los certificados de 47 días. ¿Todo listo?

Actúa ahora →

  1. Blog
    2. PKI

¿Qué es la revocación de certificados y cómo se utiliza?

Publicado porHemant Bhatt 05 Minutos
Lista de revocación de certificados
Tabla de contenido

Revocación de certificado Es el proceso mediante el cual se finaliza el uso de un certificado antes de que expire su período de validez. La decisión de revocar implica conocer las razones de revocación disponibles, relacionarlas con la política de revocación de su organización y, a continuación, ejecutar la revocación.

Razones para la revocación del certificado

Los certificados se revocan declarándolos inválidos si las partes que confían no los utilizan. Puede haber varias razones para revocar un certificado, entre ellas:

  1. Afiliación cambiada

    Una persona es despedida, renuncia o fallece, o la cuenta de computadora para la que se emitió el certificado ya no se utiliza. Estas razones de revocación también pueden utilizarse si una persona cambia de rol dentro de una organización y ya no necesita usar el certificado asociado a su rol anterior.

    Por ejemplo, un empleado podría pasar del departamento de compras y ya no necesitar un certificado para autorizar solicitudes de compra.

  2. CACompromiso

    Sospechas que una CA La clave privada ha sido comprometida y está en manos de una persona no autorizada. Si se revoca la clave privada de una CA, la jerarquía de la CA considera revocados todos los certificados por debajo de esa CA (Autoridad de Certificación).

  3. Retención de certificado

    Una revocación temporal que indica que una CA no validará un certificado en ese momento específico.

    Nota: Si bien CertificateHold permite anular la revocación de un certificado, no se recomienda utilizar el código de motivo CertificateHold porque dificulta determinar si un certificado era válido en un momento específico.

  4. Cese de operaciones

    Se da de baja un servidor o estación de trabajo, y todos los certificados emitidos para él ya no son necesarios. Al dar de baja una CA, también puede usar este motivo de revocación.

  5. Compromiso de clave

    Sospecha que la clave privada asociada a un certificado está comprometida.

    Por ejemplo, si se roba una computadora portátil que pertenece a un usuario de su organización, cualquier clave privada almacenada en la computadora portátil podría verse comprometida.

  6. Eliminar de CRL

    Puede anular la revocación de un certificado mediante CertificateHold. El certificado sigue apareciendo en la CRL tras el proceso de anulación, pero también aparece en una CRL delta con el código de revocación establecido en RemoveFromCRL. La CA elimina el certificado de todos los formatos de la CRL cuando se publica la siguiente CRL base. Si no se utilizan CRL delta, el certificado se elimina de la siguiente CRL base.

  7. sustituida

    Se debe emitir un nuevo certificado si, por cualquier motivo, se reemplaza un certificado emitido por uno actualizado. Por ejemplo, si actualiza una plantilla de certificado y reemite certificados, podría revocar el certificado anterior con este código de motivo.

  8. Sin especificar

    Puede revocar un certificado sin proporcionar un código de revocación específico. Sin embargo, no se recomienda usar "No especificado", ya que no proporciona un registro de auditoría que identifique el motivo de la revocación.

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Más Información

¿Cómo realizar la revocación de un certificado?

Para revocar un certificado, un usuario debe ser designado administrador de certificados. Para designar a un usuario como administrador de certificados, se le asigna, o se le asigna al grupo que lo contiene, el permiso para emitir y administrar certificados en la CA emisora. La asignación de permisos la realiza un administrador de la CA, que es un usuario con permisos para administrar la CA. Siga estos pasos para otorgar los permisos necesarios:

  1. Desde Herramientas administrativas, abra la consola de la autoridad de certificación.

    Administrar permisos de CA

  2. En el árbol de la consola, haga clic con el botón derecho en CAName (donde CAName es el nombre lógico de la CA) y luego haga clic en Propiedades.

    Administrar permisos de certificados en la CA emisora

  3. En el cuadro de diálogo Propiedades de CAName, seleccione la pestaña Seguridad para asegurarse de que la cuenta de usuario o un grupo del que el usuario es miembro tenga asignado el permiso Emitir y administrar certificados.

    Permiso para administrar certificados.

Una vez que se asignan los permisos necesarios, el siguiente procedimiento revoca un certificado:

  1. Desde Herramientas administrativas, abra la consola de la autoridad de certificación.

    Administrar permisos de CA

  2. En el árbol de la consola, expanda CAName y haga clic en Certificados emitidos

    Nombre de CA

  3. En el panel de detalles, busque el certificado que necesita revocar, haga clic con el botón derecho en el certificado, seleccione Todas las tareas y haga clic en Revocar certificado.

    certificado que necesita revocar

  4. Seleccione el código de motivo apropiado en la lista desplegable Código de motivo en el cuadro de diálogo Revocación de certificado y luego haga clic en Sí.

    Revocación de certificadoRevocación de certificados de consultoría de cifrado

  5. Compruebe si el certificado revocado recientemente está visible en la sección de certificados revocados.

    certificados revocados

¿Cómo identificar certificados revocados?

La infraestructura de clave pública (PKI) ofrece tres formas de determinar si se ha revocado un certificado:

  • CRL base

    La Lista de Revocación de Certificados (CRL) contiene los números de serie de los certificados revocados por la CA y firmados con su clave privada. Si renueva el certificado de una CA con un nuevo par de claves, esta mantiene dos CRL independientes: una para cada par de claves que mantiene. Todas las versiones del sistema operativo Microsoft Windows reconocen las CRL básicas.

  • CRL delta

    Contiene únicamente los números de serie de los certificados revocados por la CA desde la última publicación de la CRL base. Si el certificado de la CA se renueva con un nuevo par de claves, se mantienen CRL delta independientes para cada par de claves. Las CRL delta permiten publicar la información de revocación con mayor rapidez y que los equipos cliente descarguen actualizaciones más pequeñas.

  • OCSP

    El Protocolo de estado de certificado en línea (OCSP) proporciona un servicio de respuesta que puede conectarse directamente a una base de datos de CA o inspeccionar las CRL base y delta publicadas por la CA para determinar el estado de revocación de un certificado específico.

Conclusión

Debemos revocar los certificados cuando no los utilicen terceros para evitar que los atacantes se hagan pasar por ellos y causen daños significativos. Para más información, contáctenos en: [email protected]

Referencias: PKI y seguridad de certificados por Brian Komar

Descubra nuestra

Blogs relacionados

PKI en la nube sin perder el control

Tome el control de la infraestructura de clave pública en la nube sin comprometer la seguridad.

19 de junio de 2026
Gestión del ciclo de vida de los certificados

Limitaciones de AWS Certificate Manager: Dónde se queda corto ACM para la infraestructura de clave pública empresarial

18 de junio de 2026
PKI

Guía de referencia de revisiones de Windows Server PKI y ADCS

3 de junio de 2026

Explorar

Más temas