¿Cuál es la diferencia entre OCSP, CRL y CDP? ¿Son OCSP y CRL iguales? ¿Podemos usar una CRL sin configurar OCSP?
La lista de revocación de certificados (CRL) es una lista de certificados revocados. No contiene el certificado en sí, sino principalmente el número de serie. Está firmado directa o indirectamente por la CA que emitió estos certificados. La CRL puede ser muy grande porque puede contener muchas revocaciones. Para verificar si se revoca un certificado, el cliente debe descargar la lista (o tener una copia reciente) y luego buscar el número de serie del certificado actual en la lista. Si no se encuentra allí, no se revoca.
La ubicación de la CRL para un certificado específico (es decir, dónde descargar) se especifica en el propio certificado como punto de distribución de CRL (CDP).
Debido a que los CRL contienen información para muchos certificados, a menudo son grandes y, por lo tanto, no son adecuados para una rápida revisión de revocación. El Protocolo de estado de certificado en línea (OCSP) en su lugar solo verifica un certificado específico y le pregunta al contestador de OCSP si este certificado fue revocado o no. El respondedor de OCSP devuelve rápidamente esta información específica que de nuevo está firmada directa o indirectamente por el emisor del certificado. Para una revocación aún más rápida, el servidor puede recuperar regularmente una respuesta OCSP actual y enviarla al cliente dentro del protocolo de enlace TLS. Con este "grapado OCSP", el cliente no necesita solicitar explícitamente al respondedor OCSP la información de revocación porque el cliente ya tiene esta información.
¿Podemos usar una CRL sin configurar OCSP?
Sí.
Lea otras preguntas en las etiquetas public-key-infrastructure certificate-revocation