Supongamos que tengo un servidor que acepta solicitudes a través de HTTPS. El servidor reside en un entorno cerrado y se basa en un servidor de CA local. No estoy seguro de si esto es relevante, pero el servidor está escrito en ASP.Net WebAPI.
¿Qué pasa si el servidor de CA se cae? ¿Eso significa que el cliente no podrá enviar respuestas a través de HTTPS? ¿Significa que el servidor no los entenderá?
La CA se usa para firmar el certificado que luego se usa dentro de la conexión HTTPS. La CA no participa en la validación de la cadena de confianza del certificado, ya que esta validación se realiza utilizando la copia almacenada localmente (y de confianza) del certificado de la CA (CA raíz).
La CA estará involucrada cuando la verificación de la revocación se realice mediante OCSP: si el respondedor de OCSP no funciona, la verificación de la revocación fallará temporalmente. La gestión de fallos depende del navegador, la configuración y el tipo de certificado. Por lo general, los navegadores simplemente continúan cuando las comprobaciones de OCSP causan fallas temporales (es decir, se desconocen si se rechaza el certificado). La única excepción suele ser la verificación de revocación para los certificados de Validación extendida (EV), pero los navegadores a menudo pueden configurarse para hacer verificaciones estrictas de OCSP en otros casos también. Chrome es conocido por no realizar comprobaciones de OCSP, sino por usar otra fuente para las comprobaciones de revocación, pero puede ser que aún use OCSP en caso de CA privadas.
Tenga en cuenta que el fallo del respondedor OCSP podría mitigarse parcialmente en el lado del servidor al recuperar periódicamente una nueva respuesta OCSP del respondedor y adjuntarla al protocolo de enlace SSL (grapado OCSP). En este caso, el navegador no necesita preguntar al contestador de OCSP y, por lo tanto, no tendrá problemas si el respondedor falla. Por supuesto, esto solo se puede hacer por un tiempo limitado, porque la respuesta OCSP grapada tiene una duración limitada.