Las respuestas de OCSP tienen un campo 'nextUpdate', que es el tiempo esperado para la nueva actualización de revocación y que la revocación actual puede considerarse válida. Las revocaciones pueden ser almacenadas en caché por los servidores de certificados intermedios, que he visto utilizados en diseños que proporcionan respuestas grapadas. He leído que las revocaciones se envían inmediatamente desde la CA raíz a la CA intermedia.
En este caso, ¿qué pasaría si hubiera un ataque DoS al servidor de la CA raíz para evitar que entregue la revocación? Esto podría exponer una ventana de oportunidad, utilizando la entrada de revocación en caché del servidor intermedio, que avisaría incorrectamente al cliente de un usuario final que un certificado de sitio web es válido, cuando puede no ser válido. El cliente o navegador del usuario podría interactuar con un sitio malicioso hasta que se detenga el DoS, se haga una llamada telefónica a todos los servidores intermedios, etc ... hasta 7 días.
Ha habido al menos tres ataques DoS en servidores de nombres raíz que duraron al menos una hora, sin embargo, no estoy seguro de cómo afectaría la capacidad de un servidor de CA para enviar tráfico saliente. Quizás tienen canales laterales para sacar la lista de revocaciones.
¿Alguien tiene más información sobre los aspectos técnicos de esto y la posibilidad de que ocurra este tipo de ataque? Además, tengo curiosidad por saber si alguien conoce la infraestructura de almacenamiento en caché para las CRL y el tiempo para esperar que aparezca una revocación en una CA intermedia típica.
Chrome utiliza su propio método de rastreo de CRL y Google los empuja al navegador en fragmentos, llamados crlset. A primera vista, OCSP tiene una mejor ventaja de tiempo en comparación con crlset, ya que contacta directamente a los respondedores autorizados para obtener el estado de las revocaciones, sin embargo, después de encontrar que algunos proveedores han implementado períodos de actualización de caché de CRL definidos de forma variable, no estoy seguro de que sea realmente mejor. Google afirma que su lista de revocaciones se actualiza diariamente y esto es más frecuente que otras soluciones.
¿Alguien conoce las ventajas y desventajas de la seguridad entre OCSP y el método crlset de Google? Específicamente, ¿cuál tiene mejor sincronización y confiabilidad para obtener la respuesta de revocación? ¿La afirmación de Google está respaldada por evidencia?