Comprobación de revocación del certificado SSL

Question

Comprobación de revocación del certificado SSL

Navega tus respuestas

#1 de Thomas Pornin (14 votos)
#2 de Eugen Constantin Dinca (9 votos)

11

En el protocolo SSL no veo dónde se verifica el certificado para el estado de revocación.

enlace

¿La revocación del certificado y la verificación de estado no están implementadas en el protocolo SSL?

public-key-infrastructure cryptography tls certificates

pregunta user1157 24.01.2011 - 06:10

fuente

2 respuestas

Lea otras preguntas en las etiquetas public-key-infrastructure cryptography tls certificates

¿Es una lista negra de direcciones IP una buena práctica para evitar ataques a sitios web? ¿Cómo puedo averiguar los esquemas de hashing de contraseña que utilizan las cuentas Unix específicas en las que inicio sesión?

score 14 · Answer 1

El protocolo SSL especifica la forma en que un servidor envía su certificado al cliente. El cliente debe entonces "obtener" la clave pública del servidor validando el certificado. La especificación SSL no describe la validación de certificados; para eso, debe consultar X.509 , en el que verá que es un proceso mucho más complejo que el que se describe en el documento al que se vincula.

La verificación del estado de revocación es parte de la validación del certificado. El cliente es realmente libre de hacerlo de la manera que considere conveniente; muchos navegadores web "verifican" el estado de revocación mediante un proceso que va como "mmhh ... probablemente no esté revocado de todos modos, no hay necesidad de revisar nada". En el mundo X.509, el estado de revocación se puede determinar descargando y validando CRL (Listas de revocación de certificados) u obteniendo respuestas de OCSP de los respondedores de OCSP (una respuesta de OCSP es un tipo de CRL reducido a un solo certificado de destino). Teóricamente, se debe obtener el estado de revocación para todos los certificados, es decir, el certificado del servidor pero también los certificados intermedios de CA utilizados para validar los certificados del servidor, y todos los demás certificados utilizados para validar las respuestas de CRL y OCSP (esto puede ser altamente recursivo). El costo agregado (especialmente en el tiempo de descarga) puede volverse prohibitivo, por lo que muchos clientes confían en un modelo más débil pero más rápido (por ejemplo, verificando el estado solo para el certificado del servidor, no la CA intermedia, o no verificando ningún estado). / p>

De todos modos, la validación es cómo se obtiene la clave pública del servidor, por lo que se produce durante el protocolo de enlace SSL, justo antes de que el cliente envíe el mensaje ClientKeyExchange.

score 9 · Answer 2

Hay dos formas de verificar el estado de un certificado:

CRL (lista de revocación de certificados) ;
OCSP (Online Certificate Status Protocol) (y la alternativa OCSP grapado método).

Ninguno de estos es SSL específico, y hacen precisamente eso: verificar el estado de un certificado. Así que ambos se aplican a cualquier cosa que use certificados.