Por el momento, existen dos métodos conocidos que brindan la posibilidad de verificar el estado de revocación de . En otras palabras, es posible comprobar si el certificado ha sido revocado por la Autoridad de Certificación o no.
Esos métodos son los siguientes:
- Protocolo de estado de certificado en línea (OCSP)
- Lista de revocación de certificados (CRL)
-
El Protocolo de estado de certificados en línea (OCSP) es un protocolo especial utilizado por las autoridades de certificación para verificar el estado de revocación enviando una solicitud al servidor OCSP de la autoridad de certificación.
-
Lista de revocación de certificados (CRL)
Se requieren las siguientes herramientas para iniciar dicha verificación:
-OpenSSL
– Certificado SSL de entidad final (emitido para un dominio o subdominio)
– Certificado intermedio que firma el certificado de entidad final
– URI del servidor OCSP de la autoridad certificadora
El URI del servidor OCSP se puede recuperar del certificado del cliente con el siguiente comando: openssl x509 -in cert.crt -noout -ocsp_uri
*donde cert.crt es el certificado de entidad final emitido para su dominio o subdominio
Alternativamente, el URI se puede recuperar decodificando el certificado en línea como se muestra en la siguiente captura de pantalla:
Si los certificados intermedios se reciben como un único archivo (.ca-bundle), será necesario abrir este archivo con cualquier editor de texto, extraer el primer certificado y guardar el archivo con el certificado recuperado como, por ejemplo, intermedio. .crt.
Una vez hecho esto, se puede enviar una solicitud al servidor OCSP ejecutando el siguiente comando:
openssl ocsp -no_nonce -emisor intermedio.crt -cert cert.crt -url -VAfile intermedio.crt
*donde cert.crt es el certificado de entidad final emitido para su dominio/subdominio e intermedio.crt es el primer certificado intermedio mencionado anteriormente
Ejemplo:
openssl ocsp -no_nonce -issuer COMODORSADomainValidationSecureServerCA.crt -cert cert.crt -url http://ocsp.comodoca.com/ -VAfile COMODORSADomainValidationSecureServerCA.crt
En el ejemplo anterior, se envía una solicitud al servidor OCSP para verificar si el certificado cert.crt está revocado o no. La respuesta devuelta contiene “buena”, lo que significa que el certificado no está revocado.
Una vez revocado el certificado, la respuesta devuelta contiene “revocado” como se muestra en la captura de pantalla siguiente.
Este método implica agregar certificados revocados a una lista especial creada por la Autoridad de Certificación. Para ser más específico, la autoridad certificadora agrega el número de serie del certificado de entidad final a la lista de revocación de certificados (CRL).
Se requieren las siguientes herramientas para iniciar una verificación:
-OpenSSL
– Número de serie del certificado de entidad final
– Lista de revocación de certificados descargada (CRL)
La URL de la CRL está codificada en certificados de entidad final. Para recuperar la URL, se puede utilizar el siguiente comando: openssl x509 -in cert.crt -noout -text | grepcrl
Alternativamente, la URL se puede recuperar decodificando el certificado en línea en .
Una vez que tenga la URL, descargue la CRL ejecutando el comando como se muestra a continuación: wget
Luego, es necesario recuperar el número de serie del certificado de entidad final ejecutando el siguiente comando: openssl x509 -in cert.crt -noout -serial
Tan pronto como se recupere el número de serie, será posible verificar si el certificado se agrega o no a la CRL. Para realizar la verificación, ejecute el siguiente comando:
openssl crl -inform DER -text -in | grep
Ejemplo: openssl crl -inform DER -text -in COMODORSADomainValidationSecureServerCA.crl | grep B1B9D6CF7E84F8E11AA7710D48818DD7
Si no hay resultados, significa que el certificado no se agrega a la CRL. Si el resultado se parece a la captura de pantalla siguiente, significa que el certificado se agrega a la CRL:
En resumen, tanto el método OCSP como el CRL tienen ventajas y desventajas.
La ventaja del método OCSP es que el estado de revocación se refleja en 10 minutos, mientras que para el método CRL, la autoridad certificadora puede tardar entre 2 y 3 días en actualizar la lista de CRL. Por lo tanto, con el método CRL, el certificado no se incluirá inmediatamente en la lista de revocación de certificados si se revoca.
La ventaja del método CRL es que esta tecnología es utilizada por la mayoría de las aplicaciones, mientras que el método OCSP no está implementado en una gran cantidad de navegadores y otros clientes; Además, incluso si se implementa OCSP, es posible que esté desactivado de forma predeterminada.