Protocolo de estado de certificado en línea
El Protocolo de estado de certificado en línea (OCSP) es un protocolo de Internet que se utiliza para validar un certificado digital X.509 . OCSP está estandarizado por el IETF en RFC 6960.
Este protocolo es una alternativa que aborda algunos de los problemas que plantean las listas de revocación de certificados (CRL) en una infraestructura de clave pública (PKI). Los mensajes OCSP están codificados en ASN.1 y pueden ser transportados por diferentes protocolos de aplicación ( SMTP , LDAP , HTTP , etc.). Dado que las comunicaciones OCSP tienen el formato de "solicitud / respuesta", los servidores OCSP se denominan respondedores OCSP.
Centralización de la validación de certificados
La validación del certificado es una tarea más compleja de lo que parece. Tradicionalmente lo realiza el cliente de la PKI. Por tanto, se deposita una gran confianza en el cliente para este tratamiento crítico. Sin embargo, una gran parte de los clientes de PKI realizan su validación de una forma aún incompleta o imperfecta (en 2006 ). Por ejemplo, el hecho de que los navegadores web no puedan automatizar la recuperación de las CRL plantea un problema con la actualización de la información.
OCSP permite centralizar esta tarea dentro de una PKI. Para validar un certificado, el cliente ya no tiene que comunicarse con una sola entidad: el respondedor OCSP. También podemos hablar de autoridad de validación (VA for Validation Authorithy ).
Ventaja sobre las CRL
Varias razones pueden llevar a preferir el protocolo OCSP a la CRL tradicional:
- OCSP proporciona información más actualizada sobre el estado de los certificados;
- con OCSP, el cliente ya no necesita recuperar la CRL él mismo. Dado el tamaño a veces grande de esta CRL, esto aligera el tráfico de red;
- el cliente ya no tiene que procesar la CRL él mismo. Esto ahorra un tratamiento relativamente complejo;
- el respondedor OCSP permite ofrecer mecanismos de facturación al vendedor y no al comprador;
- Las CRL se pueden comparar con la "lista de clientes incorrectos" de un banco. Esto constituye una filtración de información indeseable.
Otras ventajas
OCSP tiene otras ventajas en términos de implementación de clientes y arquitectura de red:
- es el respondedor OCSP el que recupera los diversos certificados que constituyen una cadena de certificados y las CRL. Esto simplifica las comunicaciones, porque el cliente no necesariamente tiene la conectividad necesaria para su recuperación (filtrado por firewall , etc.);
- el respondedor OCSP valida la escalada de la ruta de certificación. Por lo tanto, el cliente se guarda este otro tratamiento que consume recursos;
- Gracias al encadenamiento de los respondedores OCSP, el cliente se comunica con un solo respondedor confiable. Esto le ahorra al cliente comunicaciones más complejas.
Ejemplo de uso
-
Alice y Bob son clientes de Ivan, la autoridad de certificación (CA). Tienen el certificado de clave pública de Ivan;
- Alice y Bob tienen cada uno un certificado de clave pública emitido por Ivan;
- Alice quiere hacer una transacción con Bob. Por tanto, le envía su certificado que contiene su clave pública ;
- Bob quiere asegurarse de que el certificado de Alice no haya sido revocado. Crea una solicitud OCSP que contiene la huella digital del certificado de Alice y se la envía a Ivan;
- El respondedor OCSP de Ivan comprueba el estado del certificado de Alice con la base de datos de CA;
- El respondedor OCSP confirma la validez del certificado de Alice enviando una respuesta OCSP positiva firmada a Bob;
- Bob comprueba la firma criptográfica de la respuesta;
- Bob hace su transacción con Alice.
El Protocolo de validación de certificados basado en servidor (en) (SCVP) es una alternativa a OCSP.
Notas y referencias
-
(en) Petición de observaciones n o 6960 .
Apéndices
Artículos relacionados
enlaces externos