Home
Cómo comprobar el estado de revocación del certificado – Certificados SSL –

Cómo comprobar el estado de revocación del certificado – Certificados SSL –

No Comments Conocimiento

Por el momento, existen dos métodos conocidos que brindan la posibilidad de verificar el estado de revocación de . En otras palabras, es posible comprobar si el certificado ha sido revocado por la Autoridad de Certificación o no.

Esos métodos son los siguientes:

  • Protocolo de estado de certificado en línea (OCSP)
  • Lista de revocación de certificados (CRL)

  1. El Protocolo de estado de certificados en línea (OCSP) es un protocolo especial utilizado por las autoridades de certificación para verificar el estado de revocación enviando una solicitud al servidor OCSP de la autoridad de certificación.

    2. Se requieren las siguientes herramientas para iniciar dicha verificación:

    -OpenSSL

    – Certificado SSL de entidad final (emitido para un dominio o subdominio)

    – Certificado intermedio que firma el certificado de entidad final

    – URI del servidor OCSP de la autoridad certificadora

    El URI del servidor OCSP se puede recuperar del certificado del cliente con el siguiente comando: openssl x509 -in cert.crt -noout -ocsp_uri


    *donde cert.crt es el certificado de entidad final emitido para su dominio o subdominio

    Alternativamente, el URI se puede recuperar decodificando el certificado en línea como se muestra en la siguiente captura de pantalla:

    Si los certificados intermedios se reciben como un único archivo (.ca-bundle), será necesario abrir este archivo con cualquier editor de texto, extraer el primer certificado y guardar el archivo con el certificado recuperado como, por ejemplo, intermedio. .crt.

    Una vez hecho esto, se puede enviar una solicitud al servidor OCSP ejecutando el siguiente comando:

    openssl ocsp -no_nonce -emisor intermedio.crt -cert cert.crt -url -VAfile intermedio.crt

    *donde cert.crt es el certificado de entidad final emitido para su dominio/subdominio e intermedio.crt es el primer certificado intermedio mencionado anteriormente

    Ejemplo:

    openssl ocsp -no_nonce -issuer COMODORSADomainValidationSecureServerCA.crt -cert cert.crt -url http://ocsp.comodoca.com/ -VAfile COMODORSADomainValidationSecureServerCA.crt

    En el ejemplo anterior, se envía una solicitud al servidor OCSP para verificar si el certificado cert.crt está revocado o no. La respuesta devuelta contiene “buena”, lo que significa que el certificado no está revocado.

    Una vez revocado el certificado, la respuesta devuelta contiene “revocado” como se muestra en la captura de pantalla siguiente.

  2. Lista de revocación de certificados (CRL)

    3. Este método implica agregar certificados revocados a una lista especial creada por la Autoridad de Certificación. Para ser más específico, la autoridad certificadora agrega el número de serie del certificado de entidad final a la lista de revocación de certificados (CRL).

    Se requieren las siguientes herramientas para iniciar una verificación:

    -OpenSSL

    – Número de serie del certificado de entidad final

    – Lista de revocación de certificados descargada (CRL)

    La URL de la CRL está codificada en certificados de entidad final. Para recuperar la URL, se puede utilizar el siguiente comando: openssl x509 -in cert.crt -noout -text | grepcrl

    Alternativamente, la URL se puede recuperar decodificando el certificado en línea en .

    Una vez que tenga la URL, descargue la CRL ejecutando el comando como se muestra a continuación: wget

    Luego, es necesario recuperar el número de serie del certificado de entidad final ejecutando el siguiente comando: openssl x509 -in cert.crt -noout -serial

    Tan pronto como se recupere el número de serie, será posible verificar si el certificado se agrega o no a la CRL. Para realizar la verificación, ejecute el siguiente comando:

    openssl crl -inform DER -text -in | grep

    Ejemplo: openssl crl -inform DER -text -in COMODORSADomainValidationSecureServerCA.crl | grep B1B9D6CF7E84F8E11AA7710D48818DD7

    Si no hay resultados, significa que el certificado no se agrega a la CRL. Si el resultado se parece a la captura de pantalla siguiente, significa que el certificado se agrega a la CRL:

En resumen, tanto el método OCSP como el CRL tienen ventajas y desventajas.

La ventaja del método OCSP es que el estado de revocación se refleja en 10 minutos, mientras que para el método CRL, la autoridad certificadora puede tardar entre 2 y 3 días en actualizar la lista de CRL. Por lo tanto, con el método CRL, el certificado no se incluirá inmediatamente en la lista de revocación de certificados si se revoca.

La ventaja del método CRL es que esta tecnología es utilizada por la mayoría de las aplicaciones, mientras que el método OCSP no está implementado en una gran cantidad de navegadores y otros clientes; Además, incluso si se implementa OCSP, es posible que esté desactivado de forma predeterminada.

Related posts:

  1. ¿Cuánto tiempo lleva activar mi cuenta de hosting? – Alojamiento – .com
  2. Cómo configurar una redirección de URL para un dominio – Dominios –
  3. Registro de nombre de dominio .gg | TLD .gg barato
  4. Cómo empezar a utilizar el correo electrónico privado de – Servicio de correo electrónico –
See also  Cómo trabajar con el complemento CSF ​​- Alojamiento -

Related Posts

Loading Facebook Comments ...
Loading Disqus Comments ...