Si ha dedicado algún tiempo al mundo de la ciberseguridad, probablemente haya escuchado la regla de oro: "Siempre use HTTPS en producción". Es el consejo principal para proteger las comunicaciones web, y con razón: cifra los datos en tránsito. En otras palabras, HTTPS protege la información confidencial de las escuchas. Pero cuando se trata de la Infraestructura de Clave Pública (PKI), en particular para gestionar la revocación de certificados, esa regla no siempre se cumple. En Encryption Consulting, aportamos nuestra amplia experiencia trabajando con empresas de la lista Fortune 500, contratistas federales y empresas nativas de la nube para diseñar sistemas PKI robustos. Una pregunta que nos han hecho con frecuencia es: "¿No deberíamos usar... HTTPS “¿Para nuestros puntos finales de revocación, como CRL y OCSP?”
La respuesta podría sorprenderle: en estos casos, HTTPS suele ser más perjudicial que beneficioso. Analicemos por qué HTTP puede ser la opción más inteligente en PKI para endpoints de revocación.
La información de revocación está firmada digitalmente por CA
Cuando se revoca un certificado, por ejemplo, debido a una clave comprometida o una violación de una política, el emisor Autoridad de certificación (CA) Debe notificar a las partes de confianza. Esto se realiza mediante dos métodos principales. Las Listas de Revocación de Certificados (CRL) son archivos firmados que se publican periódicamente y que enumeran todos los certificados revocados. Como alternativa, el Protocolo de Estado de Certificados en Línea (OCSP) proporciona comprobaciones del estado en tiempo real de certificados individuales. Ambos métodos tienen en común que la CA los firma criptográficamente. Esta firma garantiza la autenticidad e integridad de los datos, ya sea que se envíen mediante HTTP, HTTPS o incluso una unidad USB convencional.
Si alguien intenta manipular una CRL o una respuesta OCSP en tránsito, la comprobación de validación del usuario confiado fallará y los datos se rechazarán directamente. Entonces, ¿qué aporta HTTPS en este contexto? En la mayoría de los casos, no mucho.
Riesgos inesperados de HTTPS en PKI
Quizás te preguntes por qué HTTPS no es el protocolo predeterminado, dadas sus ventajas de seguridad. La respuesta reside en un problema sutil pero crítico que se describe en RFC 5280, el estándar que rige los certificados X.509 y las CRL. Este estándar desaconseja el uso de HTTPS para los campos de Puntos de Distribución de Certificados (CDP) o Acceso a la Información de Autoridad (AIA). El problema radica en una dependencia circular en este escenario, donde la CRL o el punto final OCSP se alojan mediante HTTPS. Este servicio HTTPS depende de un certificado para establecer la confianza. Para validar un certificado, la parte que confía debe comprobar su estado de revocación.
Sin embargo, si el estado de revocación se aloja en el mismo punto final HTTPS, nos vemos atrapados en un bucle infinito. La RFC 5280 se refiere a esto como "recursión ilimitada", y no es solo una preocupación teórica; más bien, puede provocar fallos de validación en el mundo real, rompiendo las cadenas de confianza e interrumpiendo los servicios.
Observamos este problema con un cliente contratista federal que se enfrentaba a estrictos requisitos de cumplimiento del Departamento de Defensa y FedRAMP. Su política de seguridad exigía el uso de HTTPS para todos los puntos finales, incluidos CRL y OCSP Respondedores. Desafortunadamente, esta configuración provocó errores de validación de certificados durante los protocolos de enlace TLS, lo que provocó fallos en cascada en sus firewalls y servicios. Así de fatal puede ser la dependencia circular. En este caso, específicamente, fue creada por los endpoints de revocación alojados en HTTPS. Al rediseñar su infraestructura para servir CRL firmadas y respuestas OCSP sobre HTTP simple, eliminamos el bucle de recursión y restauramos la funcionalidad sin comprometer la seguridad ni el cumplimiento normativo.
En nuestra plataforma PKI como servicio, adoptamos un enfoque similar: servimos datos de revocación a través de HTTP con firmas integradas y estrictos controles de almacenamiento en caché. Esto simplifica la validación en entornos de nube y evita fallos similares.
Cuándo HTTPS podría ser la opción correcta
Existen escenarios en los que HTTPS puede ser útil para los endpoints de revocación, pero requieren una planificación y una consideración cuidadosas. Por ejemplo, si le preocupa la privacidad, como evitar filtraciones de metadatos que revelen qué certificados se están comprobando, HTTPS puede cifrar las consultas y respuestas de OCSP. También es viable en entornos estrictamente controlados con certificados anclados, donde puede garantizar que el estado de revocación del certificado HTTPS se valide mediante una ruta independiente. Otra opción es usar la validación fuera de banda para evitar por completo las dependencias circulares. Sin embargo, estos casos son la excepción, no la regla, y exigen una arquitectura meticulosa para evitar la introducción de nuevos riesgos.
Una alternativa más inteligente es el grapado OCSP
Si desea evitar por completo las búsquedas OCSP en vivo, existe una mejor opción: Grapado OCSPEste enfoque permite al servidor obtener y almacenar en caché una respuesta OCSP, y luego "graparla" al certificado durante el protocolo de enlace TLS. Esto elimina la necesidad de que los clientes consulten directamente a un respondedor OCSP, lo que mejora el rendimiento al reducir las llamadas externas, aumenta la privacidad al mantener los detalles de validación en el servidor y aumenta la resiliencia en caso de que el respondedor OCSP no esté disponible temporalmente.
Cómo la consultoría de cifrado hace que PKI funcione para usted
En Encryption Consulting, no solo hablamos de estándares, sino que construimos sistemas que los implementan. Ya sea que esté implementando... Microsoft ADCS, aprovechando CA basadas en la nube como AWS Private CA o Azure Key Vault, utilizando soluciones de código abierto como EJBCA o adoptando nuestra PKI como servicio Con nuestra plataforma, garantizamos la seguridad y confiabilidad de su infraestructura de revocación. Diseñamos sistemas que entregan datos de revocación firmados a través de HTTP sin interrumpir la validación, implementamos respondedores OCSP y CRL de alta disponibilidad, e integramos comprobaciones de revocación en pipelines de CI/CD y entornos de Confianza Cero. Administrador de CertSecure La plataforma automatiza la gestión del ciclo de vida de los certificados, garantizando la fluidez de sus operaciones. Y lo más importante, le ayudamos a evitar bucles de confianza circulares mediante la validación rigurosa e independiente de cualquier punto final HTTPS.
Conclusión
En PKI, la seguridad no se limita al cifrado; se trata de garantizar que los datos estén firmados, sean confiables y accesibles sin romper la cadena de confianza. HTTPS tiene su lugar, pero para la revocación de certificados, HTTP suele ser más fiable. En Encryption Consulting, diseñamos PKI sistemas que logran un equilibrio entre los estándares y el rendimiento en el mundo real, lo que le ayuda a evitar problemas que podrían interrumpir el tiempo de actividad o el cumplimiento.
¿Listo para construir una infraestructura de clave pública (PKI) preparada para el futuro? Contacte con nuestros expertos en PKI en info@encryptionconsulting.com o visite https://www.encryptionconsulting.com para descubrir cómo podemos ayudarle.
