Buscar
  • CertiNet

¿Qué es OCSP y cómo opera?

Actualizado: 26 feb 2020


Posted por Mike Hathaway el 19 de Feb de 2020


OCSP significa Online Certificate Status Protocol: Protocolo de Estado en Línea de un Certificado Digital y es utilizado por las Autoridades de Certificación para verificar el estado de revocación de un certificado digital X.509.


En este artículo, respondemos algunas de las preguntas más comunes sobre el servicio OCSP de ADSS Server de Ascertia Ltd - representado en Chile y Latinoamérica por CertiNet S.A- incluyendo cómo funciona, los roles de las autoridades de certificación y las autoridades de validación de certificados, y cómo verificar los certificados a través de una CRL.


¿Cómo opera OCSP?

Cuando un usuario requiere validar un certificado digital, envía un requerimiento a OCSP que chequea con una autoridad certificada y responde si acaso el certificado es “bueno” está “revocado” o es “desconocido”.




¿Qué es una autoridad certificadora y cómo opera?


Las Autoridades Certificadoras (CA) son una parte central de la infraestructura de confianza digital que emite y administra los certificados que pueden ser usados para verificar la identidad de las llaves públicas de las personas. Las Autoridades Certificadoras se implementan como parte de la arquitectura de seguridad TI de un país o una organización y son operadas por los Proveedores de Servicios de Confianza. Las Autoridades de Certificación utilizan Infraestructura de Clave Pública Public Key Infrastructure (PKI) y certificados X.509 para verificar si las claves púbicas coinciden con la identidad del usuario.


Los certificados digitales contienen:


· El nombre del dueño

· La llave pública del dueño

· El nombre de la CA emisora

· Los datos de validez del certificado (valido desde y hasta)

· Información adicional opcional (por ej. Para que puede ser usado el certificado, cuando verificar el estado de revocación del certificado, etc)


La Autoridad Certificadora firma digitalmente digitally sign los datos arriba enumerados para prevenir futuras modificaciones. Las CAs usan su llave privada para firmar certificados digitales y cualquiera CA con una llave pública puede verificar la firma en el certificado digital, confiando en la información ya que no puede ser modificada.


La prueba de la identidad del firmante es vital para obtener un certificado digital de parte de una Autoridad Certificadora, quien le solicitará proveer de una prueba de identidad, ya sea de manera presencial, o mediante el chequeo de antecedentes en línea de manera previa a emitir el certificado.


En la Unión Europea las CAs certificadas de acuerdo a eIDAS se les denomina Autoridades de Certificación Calificadas y son operadas por Proveedores Calificados de Servicios de Confianza.


¿Qué es una autoridad de validación de certificados?


El servidor ADSS OCSP de Ascertia Ltd es un servidor avanzado para una Autoridad Validadora de certificados x.509 que cumple con el estándar IETF RFC 6960, tiene certificación FIPS 201 (APL #1411), y está aprobado para su uso en las agencias federales de USA para implementaciones de HSPD-12.


El ADSS OCSP Server es un hub de validación robusto capaz de proveer servicios de validación a múltiples CAs de manera concurrente.

Es posible incorporar políticas simples o sofisticadas de validación para cada CA de manera individual, proveyendo un registro histórico detallado de todas las transacciones con un visor de solicitudes y respuestas OCSP fácil de usar.

Esto es esencial para el proceso de facturación de servicio o resolución de controversias en las infraestructuras de servicios gestionados y también en sistemas empresariales.


¿Cómo puedo verificar mi certificado con CRL (Certificate Revocated List)?


CRL significa Lista de Certificados Revocados. Contiene una lista de los certificados digitales revocados por las Autoridades Certificadas.

Los certificados pueden ser revocados por un conjunto de razones, algunos debido a que los token USB o smartcards han sido reportadas como robadas o perdidas, un firmante puede haber dejado la compañía y ya no cuenta con autorización para firmar, o el certificado pudo haber sido comprometido. Los certificados digitales que se encuentran en una lista CRL ya no son confiables.



Las Listas de Certificados Revocados CRLs proporcionan un método de confirmación del estado de los certificados digitales, agregándole a una lista que se encuentra firmada un número de serie; lista que es mantenida por una Autoridad Certificada. Estas listas crecen con el tiempo y toman tiempo cuando deben ser bajadas porque se requiere chequear la revocación de un certificado.


En despliegues de mayor envergadura OCSP permite grandes eficiencias en comparación con CRLs. El servidor OCSP consume las listas de certificados revocados para poder indicar su estado: en este modelo el OCSP debe actualizar la lista en un horario definido para asegurar que está utilizando información de revocación actualizada.


Los productos avanzados OCSP permiten hacer consultas directas sobre la base de datos de una CA. Esto proporciona información del estado de revocación de los certificados en tiempo real y acceso a listas blancas de los certificados. Las Listas blancas de los certificados permiten seguridad adicional y confirman que la CA realmente emitió el certificado.


En comparación con la verificación a través de CRLs, las solicitudes de OCSP contienen muchos menos datos, por lo que son más fáciles de manejar para las redes, ya que los sistemas no tienen que descargar la última lista de cada firma revocada, cada vez que se verifica un certificado.


Si quieres profundizar en este tema, contáctanos:

ventas@certinet.cl

562-3221-9400

www.certinet.cl



37 visualizaciones0 comentarios