Certificados de Seguridad SSL/TLS
01010011 01010011 01001100 00101111 01010100 01001100 01010011 00100000 01000011 01000101 01010010 01010100
(Panamá, Costa Rica, Nicaragua, El Salvador, Honduras, Guatemala, Belize & Latinoamérica)

¿Busca servicios de RASTREABILIDAD de e-mails?
Certificados de Seguridad SSL by InterHAND
Inicio
Inicio
Productos
Certificados:  DV, OV, EV, *, SGC, CodeSigning - IAM - E-Mail
(precios)
Soporte Técnico
Soporte Técnico
(.CSR, .CRT, seal, ...)
Promociones
Promociones
Soporte Técnico
Contáctenos

+506 2441-2411 (CR)
+1 (305) 204-8934 (USA)

(envíe sus consultas)
SSL
SiteLock

CRL & OCSP

¿Qué significa esto?

Estas 2 palabras, son las abreviación de los 2 mecanismos existentes para validar si un certificado de seguridad SSL está Revocado ó no, en términos simples: si un certificado es válido o si por el contrario, no cuenta con el respaldo de la Autoridad Certificadora por haber sido emitido erróneamente y en su lugar, ya no debería confiarse en él.

 

Acá el significado de cada uno de ellos:

CRL Certificate Revocation List Lista de Revocación de Certificados

Es una lista de certificados revocados. Las aplicaciones informáticas que utilizan este mecanismo para verificar certificados automáticamente, descargan el archivo CRL y validan el estado del certificado dentro de la lista. Si está revocado y está en la lista, la aplicación no debería confiar en él. Esta lista la brinda la Autoridad Certificadora.

OCSP Online Certificate Status Protocol Protocolo de Estado En Línea de Certificados

Este es un servicio basado en consultas. Las aplicaciones informáticas verifican el estado de un certificado sin la necesidad de descargar una lista de CRL, lo hacen por medio de una consulta que demora milisegundos contra la autoridad certificadora (no contra el servidor web que posee el certificado). Este mecanismo brinda una respuesta de "revocado" ó "válido" a cada consulta.

 

Recuerde

Cuando una aplicación recibe un contenido firmado digitalmente desde Internet, como por ejemplo el contenido de un sitio seguro https:// ó un software/programa firmado, debe (la aplicación que está en el equipo del visitante y que leerá el contenido nuevo) verificar que el certificado utilizado para asegurar el contenido sea válido (certificado SSL ó de firma de código).

Los fabricantes de software (como por ejemplo: Microsoft, Google, Apple ó bien, un desarrollador de aplicaciones) determinan el método de validación... La Autoridad Certificadora no tiene control de cómo un certificado es validado, por ello, entre más opciones de validación ofrezca, mayor compatibilidad tendrá con más sistemas informáticos.

 

Consideraciones

Si el visitante/internauta utiliza IPv4 y visita una página web con contenido seguro cuyo servidor está en IPv4 ó IPv6, al detectar el certificado, irá directo al emisor de dicho certificado (autoridad certificadora) para validar si ese certificado utilizado es válido o no.

Visitante ➟ Servidor que despliega contenido ➟ CA debe tener CRL u OCSP con
IPv4 IPv4 ó IPv6 IPv4
IPv6 IPv4 ó IPv6 IPv6
Por el contrario, si el visitante utiliza IPv6 y sin importar que el servidor que despliega el contenido seguro de interés para el visitante esté en IPv4 ó IPv6, el equipo del visitante irá a la autoridad certificadora para validar que el certificado es válido o no, en este caso, lo hará directamente a servidores del mismo tipo: IPv6 de la autoridad certificadora. Si la autoridad certificadora NO posee servidores en IPv6 con estos mencanismos, podrán ocurrir alguna de las siguientes conductas:
  • Error de certificado
  • Error en el tiempo de respuesta, implicando un error al acceder el contenido seguro que se desea
  • Invalidación de certificado
  • Otros...
El puerto utilizado para realizar las consultas es el 80 en TCP...

 

A continuación, una breve muestra de algunas aplicaciones informáticas en distintos sistemas operativos y el tipo de mecanismo preferido para validar certificados SSL:

Windows® 2000 Windows XP / Windows Server 2003 Windows Vista Windows 7 / Windows Server 2008 Mac® OS X
Internet Explorer® CRL CRL OCSP primero; utilizará CRL si el OCSP no está disponible OCSP primero; utilizará CRL si el OCSP no está disponible N/A
Firefox® OCSP OCSP OCSP OCSP OCSP
Safari® N/A CRL OCSP primero; utilizará CRL si el OCSP no está disponible OCSP primero; utilizará CRL si el OCSP no está disponible OCSP primero; utilizará CRL si el OCSP no está disponible
Chrome N/A CRL OCSP primero; utilizará CRL si el OCSP no está disponible OCSP primero; utilizará CRL si el OCSP no está disponible OCSP primero; utilizará CRL si el OCSP no está disponible
Opera® OCSP & CRL OCSP & CRL OCSP & CRL OCSP & CRL OCSP & CRL
Verificación de certificados de Firma de Código CRL CRL OCSP primero; utilizará CRL si el OCSP no está disponible OCSP primero; utilizará CRL si el OCSP no está disponible OCSP primero; utilizará CRL si el OCSP no está disponible

Lista de servidores CRL y OCSP de Autoridades Certificadoras más reconocidas:

  CRL IPv4 OCSP IPv4 CRL IPv6 OCSP IPv6
DigiCert crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com    
GlobalSign crl.globalsign.com ocsp.globalsign.com crl.globalsign.com ocsp2.globalsign.com
GoDaddy crl.godaddy.com
certificates.godaddy.com
crl.starfieldtech.com
certificates.starfieldtech.com
ocsp.godaddy.com
ocsp.starfieldtech.com
   



Costa Rica, directriz 049 y 064 del MICITT

Hablan sobre la compatibilidad con IPv6, cuya fecha límite es el 31 de diciembre del 2021.


La relación con el tema de Firma Digital y Certificados SSL, específicamente con el uso de servicios de validación del estado del certificado (mecanismos OCSP ó CRL), se convierte de suma importancia, casi una necesidad que las Autoridades Certificadoras (CA) actualicen su infraestructura de red y servicios utilizando IPv6.

Todavía hoy en día, existe una gran cantidad de usuarios (posiblemente arriba del 90%) que todavía usan IPv4 y que podrían convertirse en futuros riesgos al sistema de firma digital.

...

Se debe trabajar en la concientización hacia las CA e incluso revisar los estándares y normativa que las cubre, para buscar ese cambio hacia la utilización de IPv6 y así cumplir el decreto de 049-MICITT pero más importante: no afectar el funcionamiento de los mecanismos de Firma Digital o uso de certificados digitales.



Ministerio de Ciencia, Tecnología y Telecomunicaciones
Costa Rica
www.micit.go.cr




Facebook SSLCR/SSLCR

Twitter @ SSL_CR@SSL_CR

SSL.CR, GlobalSign.cr, CertificadosDeSeguridadSSL.com y Certificados-SSL-CostaRica.com,
son propiedad de InterHAND S. A.
Alajuela, +506 2441-2411
     
* * * * * *