En el protocolo SSL no veo dónde se verifica el certificado para el estado de revocación.
¿La revocación del certificado y la verificación de estado no están implementadas en el protocolo SSL?
El protocolo SSL especifica la forma en que un servidor envía su certificado al cliente. El cliente debe entonces "obtener" la clave pública del servidor validando el certificado. La especificación SSL no describe la validación de certificados; para eso, debe consultar X.509 , en el que verá que es un proceso mucho más complejo que el que se describe en el documento al que se vincula.
La verificación del estado de revocación es parte de la validación del certificado. El cliente es realmente libre de hacerlo de la manera que considere conveniente; muchos navegadores web "verifican" el estado de revocación mediante un proceso que va como "mmhh ... probablemente no esté revocado de todos modos, no hay necesidad de revisar nada". En el mundo X.509, el estado de revocación se puede determinar descargando y validando CRL (Listas de revocación de certificados) u obteniendo respuestas de OCSP de los respondedores de OCSP (una respuesta de OCSP es un tipo de CRL reducido a un solo certificado de destino). Teóricamente, se debe obtener el estado de revocación para todos los certificados, es decir, el certificado del servidor pero también los certificados intermedios de CA utilizados para validar los certificados del servidor, y todos los demás certificados utilizados para validar las respuestas de CRL y OCSP (esto puede ser altamente recursivo). El costo agregado (especialmente en el tiempo de descarga) puede volverse prohibitivo, por lo que muchos clientes confían en un modelo más débil pero más rápido (por ejemplo, verificando el estado solo para el certificado del servidor, no la CA intermedia, o no verificando ningún estado). / p>
De todos modos, la validación es cómo se obtiene la clave pública del servidor, por lo que se produce durante el protocolo de enlace SSL, justo antes de que el cliente envíe el mensaje ClientKeyExchange.
Hay dos formas de verificar el estado de un certificado:
Ninguno de estos es SSL específico, y hacen precisamente eso: verificar el estado de un certificado. Así que ambos se aplican a cualquier cosa que use certificados.
Lea otras preguntas en las etiquetas public-key-infrastructure cryptography tls certificates