A medida que la autenticación basada en certificados continúa aumentando, es de suma importancia garantizar que estos certificados sean válidos y confiables. Los malos actores y las amenazas son cada vez más sofisticados, por lo que es necesario desarrollar la forma en que monitoreamos y validamos los certificados para mantener la seguridad de nuestros valiosos datos. A continuación, exploraremos qué son estos protocolos, por qué son tan importantes, en qué se diferencian y por qué el ingeniero de seguridad contemporáneo debería familiarizarse.
CRL (Listas de Revocación de Certificados) (sí, otro acrónimo) son listas mantenidas por las autoridades certificadoras que agregan todos los certificados que han sido revocados antes de su período de vencimiento. Básicamente, incluso si un certificado parece ser válido, podría ser revocado o inválido por diversos motivos, como que la clave privada esté comprometida, emisión fraudulenta, discrepancias en el control de dominio o un cambio en las políticas operativas que invaliden el certificado y lo marquen para su revocación. .
La CA publica y actualiza periódicamente las CRL. Si se encuentra un certificado en la CRL, el sistema lo rechazará, o al menos advertirá sobre ese certificado, incluso si su fecha de vencimiento no ha pasado. Cada entrada generalmente incluye datos como el número de serie, la fecha de revocación y el motivo de la revocación (si corresponde).
Si bien las CRL han sido una excelente manera de monitorear y validar certificados durante bastante tiempo, no están exentas de deficiencias. La sobrecarga operativa asociada con la búsqueda constante de CRL, especialmente en implementaciones a gran escala, es bastante elevada.
OCSP es el acrónimo de “Protocolo de estado de certificados en línea”. Es el protocolo diseñado específicamente para recuperar el estado de revocación de certificados individuales. Es una alternativa a las CRL y es una forma más eficiente de verificar si un certificado ha sido revocado antes de su fecha de vencimiento, ya que solo verifica 1 en lugar de escanear la lista completa desde una CA.
Aquí está el ELI5 sobre cómo funciona:
1) El cliente envía una solicitud a un respondedor OCSP, preguntando sobre el estado de un certificado específico.
2) El respondedor OCSP, mantenido por la CA, verifica el estado del certificado en cuestión.
3) El respondedor envía una respuesta indicando el estado como Bueno, Revocado o Desconocido.
A diferencia de CRL, que requiere la descarga de listas, el OCSP ofrece una solución más en tiempo real. Con OCSP, las aplicaciones pueden consultar el estado de revocación de un certificado individual sobre la marcha. En lugar de recuperar una lista completa, el respondedor OCSP proporciona el estado de un único certificado. Si bien tanto CRL como OCSP abordan el mismo tema, lo hacen de maneras fundamentalmente diferentes.
Eficiencia: OCSP solo verifica el estado de un certificado específico, evitando así la sobrecarga de descargar CRL de gran tamaño. ¡Esto le ahorra dinero!
Puntualidad/Latencia: OCSP proporciona respuestas casi en tiempo real, mientras que las CRL dependen de actualizaciones periódicas y pueden estar desactualizadas. Esto significa que cosas (certificados traviesos) podrían estar pasando desapercibidas.
Con nuestra solución PKI basada en la nube, no hay absolutamente ninguna necesidad de configurar dos servidores para CRL y OCSP. Una de las cosas interesantes de EZCA es que decidir entre CRL y OSCP es tan fácil como hacer clic en un botón. ¡Elimine las conjeturas de la ecuación y comience hoy mismo con la mejor PKI nativa basada en Azure! Obtenga más información sobre cómo sus colegas de la comunidad de desarrollo de seguridad utilizan nuestra herramienta de monitoreo de certificados para garantizar la seguridad de los datos de sus organizaciones.
