Los riesgos ocultos de las listas de revocación de certificados (CRL) vencidas

Certificados digitales juegan un papel crucial en la seguridad web y Infraestructura de Clave Pública, garantizando una comunicación segura en internet. Estos certificados actúan como identificaciones digitales que verifican la legitimidad de un sitio web. Ahora, imagine que intenta acceder a un sitio web, pero sin saberlo, el certificado que lo valida ha sido comprometido. Este descuido abre una puerta trasera para que los hackers intercepten su información confidencial.

Para abordar tales riesgos, cada certificado tiene un período de validez finito durante el cual se considera de confianza. Sin embargo, durante este tiempo, pueden surgir situaciones en las que el propietario o el autoridad de certificación El emisor del certificado puede declararlo no confiable. Por ejemplo, si la clave privada del certificado se ve comprometida o si su propietario ya no controla el dominio para el que se emitió, este se convierte en un riesgo. 

En tal caso, el certificado no confiable se revoca y se informa a los usuarios del certificado sobre la revocación. Esto se hace agregando el certificado en cuestión a una lista de certificados no confiables. Lista de revocación de certificados (CRL)Una CRL es simplemente una lista negra gestionada por la CA que enumera los certificados que no deben considerarse de confianza y que ya no son válidos. Si bien estas CRL mantienen la confianza en la CA, PKI infraestructura, una CRL vencida puede presentarnos riesgos y desafíos ocultos que pueden socavar esta confianza. 

Funcionamiento de la CRL

La CRL es la única forma en que la PKI puede saber si un certificado ha sido revocado antes de su vencimiento. Si bien la PKI proporciona una lista de usuarios de confianza a través de los certificados emitidos, también es fundamental identificar a aquellos que ya no son confiables. La CRL cumple precisamente esta función al listar los certificados revocados antes de su vencimiento. 

Los pasos que implica la CRL son los siguientes: 

• Iniciación de solicitud

  La entidad a la que se le ha emitido el certificado detecta que este debe ser revocado, lo cual podría deberse a una vulneración, un uso indebido, etc., y envía una solicitud de revocación a la CA emisora. Esta solicitud suele incluir el número de serie del certificado y el motivo de la revocación.

• Proceso de solicitud de revocación

  Luego, la CA verifica la autenticidad de esa solicitud de revocación y, una vez validada la solicitud, marca el certificado como revocado en sus registros internos.

• Actualización y firma de listas

  Posteriormente, la CA añade los certificados revocados a la lista y actualiza la CRL. La integridad de la CRL revisada se verifica firmando la clave privada de la CA.

• Publicación CRL

  La CRL firmada se publica y se pone a disposición del público y de otras entidades que dependen de los certificados emitidos por la CA. Esto se realiza mediante diversos métodos, como la publicación en un servidor web y la distribución a través de LDAP.

• Distribución de CRL

  Los navegadores y servidores verifican el estado de los certificados descargando periódicamente la CRL desde la ubicación especificada.

• Uso de CRL

  Ahora, cuando un navegador o servidor encuentra un certificado, verifica su número de serie comparándolo con la CRL descargada. Si el certificado se encuentra en la CRL, se considera revocado.

Cómo ver el estado de revocación del certificado 

La CRL la facilita la Autoridad de Certificación en un punto de distribución específico, y también está disponible junto con los certificados. 

Si ya has descargado el certificado digital, puedes abrirlo; si se trata de un certificado con un sitio web, haz clic en el icono del candado junto a la URL y sigue los pasos indicados: 

1. Haz clic en el botón "La conexión es segura" y luego en el botón "El certificado es válido".
2. Vaya a la sección de detalles y desplácese hacia abajo hasta Puntos de distribución de CRL (CDP).
3. Verá una o más URL que apuntan a la ubicación donde se publican las CRL.
4. En el campo valor, copie la URL y péguela en la barra de búsqueda.
5. El navegador descargará el archivo CRL. Puede acceder a él para consultar la información de la lista de revocación.

Riesgos de una CRL caducada

Riesgos de seguridad: aceptar un certificado revocado 

Si una CRL está desactualizada o ha caducado, es posible que los sistemas que dependen de ella no estén al tanto de las últimas actualizaciones de revocación. Esto significa que un certificado comprometido o no válido podría ser aceptado por los sistemas que confían en él, lo que generaría una vulnerabilidad que los atacantes podrían explotar. 

Riesgos operativos: problemas de servicio y cumplimiento 

Muchas aplicaciones y servidores están configurados para verificar siempre la CRL antes de aceptar el certificado. Ahora bien, si la CRL ha caducado, estas máquinas podrían rechazar automáticamente los certificados, lo que conllevaría a cortes y las interrupciones. Las normas regulatorias suelen exigir el uso de una CRL actualizada. El incumplimiento de estas normas podría ocasionar pérdidas financieras a la organización. 

Riesgos de confianza e ingresos

Si un servidor no puede verificar de forma fiable el estado de un certificado digital, pone en riesgo la confianza en la comunicación digital y genera pérdidas de ingresos para la organización, ya que los usuarios y los sistemas ya no pueden estar completamente seguros de la integridad de los certificados. 

Mitigación de riesgos con CertSecure Manager

Administrador de CertSecure ofrece una PKI de salud Con el fin de predetectar y supervisar dichos fallos, a continuación se ofrece una explicación detallada de cómo CertSecure Manager ayuda a resolver estas complicaciones: 

CertSecure realiza una comprobación detallada de todos los componentes de la Autoridad de Certificación y muestra todos los CDP y AIA, junto con los días restantes para la CRL. Si se detecta un fallo, la solución alerta automáticamente a los administradores sobre el problema.

• Comprobación detallada: CertSecure verifica todos los componentes de la autoridad de certificación y proporciona una visión centralizada del estado de la infraestructura de clave pública (PKI).
• Puntos CDP, AIA: Identifica los puntos CDP y de acceso a la información de la autoridad (AIA) para localizar la CRL.
• Vida útil restante de la CRL: Muestra el tiempo de vida restante antes de que caduque la CRL. Esto ayuda a los administradores a actualizar la lista y a reducir el riesgo de depender de una CRL obsoleta.
• Alertas automatizadas: CertSecure proporciona un mecanismo de alertas integrado para notificar a los administradores sobre el vencimiento, así como gestión de incidentes en caso de fallos relacionados con las CRL.

Conclusión

En conclusión, una CRL Mantiene la seguridad de las comunicaciones digitales revocando rápidamente los certificados comprometidos o inválidos. Es una solución eficaz para garantizar la confianza e integridad de las comunicaciones web. Sin embargo, una CRL caducada, fuera de línea o mal configurada puede provocar interrupciones y cortes del servicio.  

Por lo tanto, utilizar una solución CLM como CertSecure ayuda a supervisar de forma centralizada los certificados digitales y las CRL en toda la organización. Esto contribuiría a prevenir interrupciones del servicio, reducir el tiempo de inactividad y ahorrar en costosas reparaciones.