Revocación de certificados, cómo funciona con CRL u OCSP

La revocación de certificados SSL desempeña un papel crucial en el mantenimiento de la seguridad y la integridad del ecosistema de Public Key Infrastructure (PKI).

Cuando es necesario invalidar un SSL Certificate antes de su fecha de caducidad natural, la Certificate Authority (CA) debe disponer de mecanismos fiables para informar a los clientes y navegadores de que el SSL Certificate ya no es de confianza.

Este proceso ayuda a proteger a los usuarios de los Certificate SSL comprometidos o fraudulentos que, de otro modo, podrían permanecer activos durante meses o años.

Listas de revocación de certificados (CRL)

Las SSL Certificate Revocation Lists representan el método tradicional de publicación de información sobre certificados SSL revocados.

Una CRL es básicamente una lista con fecha y hora firmada por una Certificate Authority que contiene los números de serie de todos los SSL Certificates revocados que aún no han alcanzado su fecha de caducidad.

Cuando un navegador encuentra un SSL Certificate, puede descargar y comprobar la CRL correspondiente para verificar si ese SSL Certificate ha sido revocado.

Las CRL suelen ser actualizadas por las Certificate Authority a intervalos regulares, a menudo cada 24 horas o cuando se produce una revocación urgente. Cada CRL contiene metadatos fundamentales, como el nombre del emisor, la fecha de entrada en vigor y la hora de la próxima actualización.

Aunque las CRL ofrecen una solución completa para la comprobación del estado de los SSL Certificate, pueden llegar a ser bastante grandes a medida que acumulan SSL Certificates revocados a lo largo del tiempo. Este problema de tamaño puede provocar un aumento del uso del ancho de banda y un posible impacto en el rendimiento cuando los clientes necesiten descargar y procesar las listas.

Protocolo de estado de certificados en línea (OCSP)

OCSP se desarrolló para solucionar las limitaciones de las CRL proporcionando información sobre el estado de los SSL Certificates en tiempo real.

En lugar de descargar listas de revocación completas, OCSP permite a los clientes consultar el estado actual de un Certificate SSL específico directamente a la Certificate Authority. Este enfoque reduce significativamente los requisitos de ancho de banda y proporciona actualizaciones más inmediatas del estado de revocación en comparación con los sistemas basados en CRL.

Cuando un navegador se conecta a un sitio web protegido con un SSL Certificate, puede enviar una solicitud OCSP para verificar el estado del SSL Certificate. El respondedor OCSP, operado por la Certificate Authority, devolverá una respuesta firmada indicando si el SSL Certificate es válido, revocado o desconocido.

Este proceso se realiza de forma rápida y eficaz, y normalmente sólo requiere unos pocos kilobytes de transferencia de datos.

Grapado OCSP y mejoras modernas

El grapado OCSP representa una mejora significativa del modelo OCSP tradicional. Con el grapado OCSP, el servidor web obtiene periódicamente una respuesta OCSP de la Certificate Authority y la incluye (grapa) directamente en el handshake SSL Certificate/TLS.

Este método elimina la necesidad de que los navegadores realicen consultas OCSP por separado, lo que reduce el tiempo de conexión y mejora la privacidad al evitar que la Certificate Authority realice un seguimiento de las comprobaciones individuales del estado de los SSL Certificates.

Los certificados SSL modernos emitidos por Trustico® admiten los métodos de comprobación de revocación CRL y OCSP, lo que garantiza la máxima compatibilidad y seguridad en los distintos sistemas cliente.

Los administradores de servidores pueden configurar sus sistemas para que utilicen OCSP Stapling, lo que proporciona un rendimiento óptimo a la vez que mantiene unos sólidos procesos de validación de SSL Certificates.

La implementación de estos mecanismos de comprobación de revocación ayuda a mantener la seguridad general del ecosistema de SSL Certificate y protege a los usuarios de certificados SSL potencialmente comprometidos.

Escenarios comunes de revocación

La revocación de certificados SSL suele producirse en varios escenarios comunes. El compromiso de la Private Key representa una de las razones más críticas para la revocación inmediata de un SSL Certificate, ya que indica un posible acceso no autorizado a las comunicaciones cifradas.

Otras situaciones son los cambios de nombre de la organización, el cierre del servidor o el descubrimiento de información incorrecta en la solicitud original del SSL Certificate.

Las Certificate Authorities como Trustico® mantienen procedimientos estrictos para gestionar las solicitudes de revocación con el fin de garantizar que la integridad del sistema PKI permanezca intacta.