CRL & OCSP
¿Qué significa esto?
Estas 2 palabras, son las abreviación de los 2 mecanismos existentes para validar si un certificado de seguridad SSL está Revocado ó no, en términos simples: si un certificado es válido o si por el contrario, no cuenta con el respaldo de la Autoridad Certificadora por haber sido emitido erróneamente y en su lugar, ya no debería confiarse en él.
Acá el significado de cada uno de ellos:
CRL ➟ Certificate Revocation List ➟ Lista de Revocación de Certificados
Es una lista de certificados revocados. Las aplicaciones informáticas que utilizan este mecanismo para verificar certificados automáticamente, descargan el archivo CRL y validan el estado del certificado dentro de la lista. Si está revocado y está en la lista, la aplicación no debería confiar en él. Esta lista la brinda la Autoridad Certificadora.
OCSP ➟ Online Certificate Status Protocol ➟ Protocolo de Estado En Línea de Certificados
Este es un servicio basado en consultas. Las aplicaciones informáticas verifican el estado de un certificado sin la necesidad de descargar una lista de CRL, lo hacen por medio de una consulta que demora milisegundos contra la autoridad certificadora (no contra el servidor web que posee el certificado). Este mecanismo brinda una respuesta de "revocado" ó "válido" a cada consulta.
Recuerde
Cuando una aplicación recibe un contenido firmado digitalmente desde Internet, como por ejemplo el contenido de un sitio seguro https:// ó un software/programa firmado, debe (la aplicación que está en el equipo del visitante y que leerá el contenido nuevo) verificar que el certificado utilizado para asegurar el contenido sea válido (certificado SSL ó de firma de código).
Los fabricantes de software (como por ejemplo: Microsoft, Google, Apple ó bien, un desarrollador de aplicaciones) determinan el método de validación... La Autoridad Certificadora
no tiene control de cómo un certificado es validado, por ello, entre más opciones de validación ofrezca, mayor compatibilidad tendrá con más sistemas informáticos.
Consideraciones
Si el visitante/internauta utiliza IPv4 y visita una página web con contenido seguro cuyo servidor está en IPv4 ó IPv6, al detectar el certificado, irá directo al emisor de dicho certificado (autoridad certificadora) para validar si ese certificado utilizado es válido o no.
| Visitante ➟ |
Servidor que despliega contenido ➟ |
CA debe tener CRL u OCSP con |
| IPv4 |
IPv4 ó IPv6 |
IPv4 |
| IPv6 |
IPv4 ó IPv6 |
IPv6 |
Por el contrario, si el visitante utiliza IPv6 y sin importar que el servidor que despliega el contenido seguro de interés para el visitante esté en IPv4 ó IPv6, el equipo del visitante irá a la autoridad certificadora para validar que el certificado es válido o no, en este caso, lo hará directamente a servidores del mismo tipo: IPv6 de la autoridad certificadora. Si la autoridad certificadora NO posee servidores en IPv6 con estos mencanismos, podrán ocurrir alguna de las siguientes conductas:
- Error de certificado
- Error en el tiempo de respuesta, implicando un error al acceder el contenido seguro que se desea
- Invalidación de certificado
- Otros...
➟ El puerto utilizado para realizar las consultas es el 80 en TCP...
A continuación, una breve muestra de algunas aplicaciones informáticas en distintos sistemas operativos y el tipo de mecanismo preferido para validar certificados SSL:
|
Windows® 2000 |
Windows XP / Windows Server 2003 |
Windows Vista |
Windows 7 / Windows Server 2008 |
Mac® OS X |
| Internet Explorer® |
CRL |
CRL |
OCSP primero; utilizará CRL si el OCSP no está disponible |
OCSP primero; utilizará CRL si el OCSP no está disponible |
N/A |
| Firefox® |
OCSP |
OCSP |
OCSP |
OCSP |
OCSP |
| Safari® |
N/A |
CRL |
OCSP primero; utilizará CRL si el OCSP no está disponible |
OCSP primero; utilizará CRL si el OCSP no está disponible |
OCSP primero; utilizará CRL si el OCSP no está disponible |
| Chrome |
N/A |
CRL |
OCSP primero; utilizará CRL si el OCSP no está disponible |
OCSP primero; utilizará CRL si el OCSP no está disponible |
OCSP primero; utilizará CRL si el OCSP no está disponible |
| Opera® |
OCSP & CRL |
OCSP & CRL |
OCSP & CRL |
OCSP & CRL |
OCSP & CRL |
| Verificación de certificados de Firma de Código |
CRL |
CRL |
OCSP primero; utilizará CRL si el OCSP no está disponible |
OCSP primero; utilizará CRL si el OCSP no está disponible |
OCSP primero; utilizará CRL si el OCSP no está disponible |
Lista de servidores CRL y OCSP de Autoridades Certificadoras más reconocidas:
| |
CRL IPv4 |
OCSP IPv4 |
CRL IPv6 |
OCSP IPv6 |
| DigiCert |
crl3.digicert.com
crl4.digicert.com
|
ocsp.digicert.com |
|
|
| GlobalSign |
crl.globalsign.com |
ocsp.globalsign.com |
crl.globalsign.com |
ocsp2.globalsign.com |
| GoDaddy |
crl.godaddy.com
certificates.godaddy.com
crl.starfieldtech.com
certificates.starfieldtech.com |
ocsp.godaddy.com
ocsp.starfieldtech.com |
|
|
Costa Rica, directriz 049 y 064 del MICITT
Hablan sobre la compatibilidad con IPv6, cuya fecha límite es el 31 de diciembre del 2021.
La relación con el tema de Firma Digital y Certificados SSL, específicamente con el uso de servicios de validación del estado del certificado (mecanismos OCSP ó CRL), se convierte de suma importancia, casi una necesidad que las Autoridades Certificadoras (CA) actualicen su infraestructura de red y servicios utilizando IPv6.
Todavía hoy en día, existe una gran cantidad de usuarios (posiblemente arriba del 90%) que todavía usan IPv4 y que podrían convertirse en futuros riesgos al sistema de firma digital.
...
Se debe trabajar en la concientización hacia las CA e incluso revisar los estándares y normativa que las cubre, para buscar ese cambio hacia la utilización de IPv6 y así cumplir el decreto de 049-MICITT pero más importante: no afectar el funcionamiento de los mecanismos de Firma Digital o uso de certificados digitales.
Ministerio de Ciencia, Tecnología y Telecomunicaciones
Costa Rica
www.micit.go.cr
/SSLCR
@SSL_CR
