Lightweight Online Certificate Status Protocol (OCSP) en entornos de alto volumen de certificados


OCSPEl Protocolo de consulta en linea del estado de certificados (Online Certificate Status Protocol – OCSP) permite determinar el estado de vigencia o revocación de los certificados digitales sobre los que se consulta, como mecanismo alternativo al uso de listas de revocación de certificados (Certificate Revocation List – CRL).

Desde su definición en 1999, se ha desplegado en múltiples entornos y ha demostrado su utilidad hasta el punto de que se ha convertido en el mecanismo preferido de verificación de vigencia de certificados establecido en el Reglamento EIDAS.

En efecto, el  Art 24 indica:

(…)

3.   Cuando los prestadores cualificados de servicios de confianza que expidan certificados cualificados decidan revocar un certificado, registrarán su revocación en su base de datos de certificados y publicarán el estado de revocación del certificado oportunamente y, en todo caso, en un plazo de 24 horas después de la recepción de la solicitud. La revocación será efectiva inmediatamente después de su publicación.

4. Con respecto a lo dispuesto en el apartado 3, los prestadores cualificados de servicios de confianza que expidan certificados cualificados proporcionarán a cualquier parte usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos. Esta información deberá estar disponible al menos por cada certificado en cualquier momento y con posterioridad al período de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente.

Un servidor OCSP debe responder en “tiempo real”, generando una respuesta de información de vigencia por cada consulta relativa a un certificado.

A medida que el uso de tecnologías PKI continúa creciendo y cubre nuevos requerimientos, la necesidad de comprobar la vigencia de los certificados debe adaptarse a nuevos escenarios.

Al pensar en despliegues de dispositivos ubicuos en contextos de IoT (Internet de las cosas) con menores capacidades de proceso y quizá menor ancho de banda  se requiere un uso cuidadoso de OCSP para minimizar el uso de ancho de banda y la complejidad de procesamiento del lado del cliente. Si a eso se añade que pueden existir millones o cientos de millones de certificados expedidos para otros tantos dispositivos, el potencial consumo de ancho de banda destinado a OCSP cuando las entidades que confían en los certificados consultan su validez hacer recomendable contar con mecanismos optimizados. De ahí la conveniencia de contar con una versión ligera de OCSP que con el tiempo pueda ser adoptada por los diferentes intervinientes en estos contextos de despliegues masivos de certificados.

Estas consideraciones han dado lugar a la publicación del estándar RFC 5019, que simplifica el protocolo OCSP manteniendo la compatibilidad con versiones anteriores.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.