El Protocolo de estado de certificados en línea (OCSP) y las listas de revocación de certificados (CRL) son dos métodos para mantener Gestión del ciclo de vida de los certificados (CLM) Para su organización. Pero antes de analizar cuál es el mejor método, analicemos por qué debería usar CLM.
Como ya sabrás, al utilizar HTTP / S en los sitios web administrados por organizaciones, Certificados SSL se implementan, lo cual beneficia a las organizaciones. Autoridad de certificación (CA) Esto valida la legitimidad del certificado. Sin embargo, estos certificados tienen un periodo de validez durante el cual permanecen activos y cifran todas las comunicaciones hacia y desde el servidor, protegiendo la actividad del usuario en línea de actores maliciosos y ataques Man in the Middle (MitM).
Tras la expiración de dicho certificado, se debe emitir uno nuevo y el anterior debe bloquearse para que no se utilice en futuras comunicaciones. Para mantener registros de dichas actividades, las organizaciones deben utilizar CLM.
OCSP
El Protocolo de Estado de Certificados en Línea (OCSP) es un protocolo de Internet que permite a las aplicaciones determinar el estado de revocación de los certificados identificados sin utilizar Listas de Revocación de Certificados (CRL). Con OCSP, es posible obtener información más precisa sobre el estado de revocación que con las CRL.
Cómo funciona
Un cliente OCSP envía una solicitud de estado a un respondedor OCSP y espera para aceptar los certificados hasta que el respondedor proporcione una respuesta.
Solicitud OCSP
Una solicitud OCSP contiene la siguiente información:
- Versión del protocolo
- Petición de servicio
- Identificador del certificado de destino
- Otras extensiones opcionales.
Al recibir la solicitud, el respondedor OCSP comprueba si se cumplen las condiciones predefinidas. Estas condiciones son:
- El mensaje debe estar bien formulado.
- El respondedor debe estar configurado para proporcionar el servicio solicitado.
- La solicitud debe contener la información que necesita el respondedor.
Devuelve una respuesta definitiva si se cumplen todas las condiciones anteriores y produce un mensaje de error en caso contrario.
Respuesta de OCSP
Una respuesta OCSP puede ser de varios tipos, pero solo existe un tipo compatible con todos los servidores y clientes OCSP. Una respuesta OCSP básica contiene la siguiente información:
- Versión de la sintaxis de respuesta
- Identificador del respondedor
- Hora en que se generó la respuesta
- Respuestas para cada uno de los certificados en una solicitud
- Extensiones opcionales
- Algoritmo de firma OID
- Firma calculada a través de una hachís de la respuesta
Hay 3 valores de estado de certificado que se pueden devolver:
-
Bueno
Un certificado con estado "bueno" indica que es válido. Como mínimo, esto indica que no se ha revocado ningún certificado con el número de serie y el periodo de validez correspondientes.
-
Revocado
El estado "revocado" indica que el certificado ha sido revocado, ya sea temporal o permanentemente. Si la CA no tiene constancia de haber emitido un certificado con el número de serie de la solicitud, también podría aparecer este estado.
-
Desconocidas
El estado "desconocido" indica que el respondedor no tiene conocimiento sobre el certificado que se solicita, generalmente porque la solicitud indica un emisor no reconocido que no es atendido por este respondedor.
La respuesta de OCSP siempre está firmada por la CA para garantizar que no se produzca ninguna alteración mientras la solicitud está en tránsito.
Grapado OCSP
El grapado de OCSP mejora el rendimiento al configurar una respuesta OCSP firmada digitalmente y con marca de tiempo en el servidor web. Esta respuesta OCSP se actualiza a intervalos determinados por la CA. La respuesta OCSP grapada permite al servidor web incluir la respuesta OCSP en el protocolo de enlace SSL inicial, sin que el usuario tenga que establecer una conexión independiente con la CA.
Ventajas
- En comparación con la CRL, una respuesta OCSP contiene considerablemente menos datos, ya que al utilizar OCSP un cliente puede consultar el estado de un solo certificado en lugar de tener que descargar y analizar una lista completa.
- Dado que los datos solicitados son bajos, la carga en el cliente y la red es considerablemente menor que con las CRL.
Desventajas
- Dado que la solicitud se envía para cada certificado cada vez, puede sobrecargar el respondedor OCSP para sitios web con alto tráfico.
- Aunque lo anterior se puede solucionar mediante el uso de OCSP Stapling, aún no es compatible con todos los navegadores.
- Si la clave privada del servidor se ve comprometida, un atacante puede hacerse pasar por el servidor mediante un ataque Man in the Middle.
CRL
Una Lista de Revocación de Certificaciones (CRL) es una lista de certificados digitales que han sido revocados por la Autoridad de Certificación (CA) emisora antes de su fecha de vencimiento programada y que ya no son confiables. Existen dos estados de revocación:
Revocado
En este estado, un certificado se revoca irreversiblemente y no se puede restablecer. El motivo de la revocación podría ser cualquiera de los siguientes:
- Sin especificar
- Compromiso clave
- Compromiso de CA
- Afiliación cambiada
- sustituida
- Cese de operaciones
- Retención de certificado
- Eliminado de la CRL
- Privilegio retirado
- Compromiso de CA
La razón más común de revocación es que la clave privada del usuario se ha visto comprometida.
Mantener
Un certificado en estado de espera se suspende temporalmente y puede restablecerse si es necesario. La suspensión de un certificado puede ocurrir por varias razones; por ejemplo, si se encuentra una clave privada que se creía perdida, se puede restablecer el estado y el certificado volverá a ser válido.
Cómo funciona
Una CRL funciona básicamente como una lista negra de certificados. Un navegador realiza una solicitud GET a una página con HTTPS habilitado, la CA recibe la solicitud y devuelve una lista de todos los certificados revocados. El navegador analiza la CRL para asegurarse de que el certificado del sitio solicitado no esté incluido en ella.
Cuando un navegador desea recuperar la CRL de un certificado, la obtiene de un punto de distribución de CRL específico (un punto de distribución de CRL (CDP) es una extensión de certificado X.509 v3). En resumen, un punto de distribución de CRL es una ubicación compartida en la red que se utiliza para almacenar la CRL y los certificados. También es posible tener dos puntos de distribución: uno que apunte a la ubicación de la CRL HTTP y el otro a la de la CRL LDAP. Ambos puntos de distribución, HTTP y LDAP, podrían apuntar a la misma CRL.
Ventajas
El uso de una CRL es la siguiente mejor manera de mantener el ciclo de vida de un certificado si, por alguna razón, OCSP no está disponible.
Desventajas
- Generalmente, la CRL devuelta contiene miles de líneas, lo que puede causar un efecto considerable en la red y el rendimiento del cliente.
- Normalmente, la publicación de una nueva CRL es muy lenta, lo que puede dejar al cliente expuesto a ataques.
- Si por alguna razón un cliente no puede descargar la CRL, confiará en el certificado de forma predeterminada.
| OCSP | CRL |
|---|---|
| OCSP se puede utilizar para obtener el estado de un solo certificado. | Una CRL es una lista con varias líneas que el navegador debe descargar. |
| El estado de un certificado se obtiene realizando una solicitud a un respondedor OCSP. | Una CRL se distribuye utilizando un punto CDP que puede ser un enlace HTTP o un servidor LDAP. |
| Tiene menos efecto sobre los recursos del cliente y de la red. | Tiene un gran efecto en los recursos del cliente. |
| Es actualmente el estándar de la industria para la gestión del ciclo de vida de los certificados. | Solía ser la única solución para Gestión del ciclo de vida de los certificados. |
