Servicio OCSP
Online Certificate Status Protocol - Consulta en línea de revocación de certificados
¿Qué es OCSP?
El servicio de comprobación del Estado de un Certificado En línea u Online Certificate Status Protocol (OCSP), proporciona, al igual que la CRL una lista de certificados que se han revocado, la diferencia es que la consulta de tipo OCSP es en línea, lo que permite asegurar con poco margen de tiempo la vigencia de un certificado digital.
Diferencia con CRL
En el caso de una CRL, un certificado revocado, recién aparece en la lista de revocación cuando la CRL se actualice, típicamente a las 00:00 del día siguiente. Con OCSP, la consulta es inmediata.
Aplicaciones y Uso
Una aplicación cliente, ejemplo:
- Un navegador web
- Plataforma de gestión de firma de documentos
- Aplicación de servidor que puede utilizar OCSP para denegar el acceso a clientes que ya no son de confianza
Normativa
Este servicio está normado según la guía técnica de acreditación ETF RFC 2560, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP.
Acceso al Servicio
El acceso a consulta del servicio de OCSP se logra a través de su protocolo de consulta y su implementación a través de un OCSP responder, utilizando una dirección accesible para todos.
URL de Referencia
http://ocsp.firma.digital/status
Respuestas OCSP
Un "respondedor" OCSP puede devolver una respuesta firmada con los siguientes estados:
- "good" - El certificado es válido
- "revoked" - El certificado ha sido revocado
- "unknown" - Estado desconocido
Ejemplo Práctico con OpenSSL
Herramientas opensource, como OpenSSL permiten a terceros que confían, procesar el OCSP.
Comando de Consulta
Parámetros:
-issuer: Certificado del emisor-cert: Certificado a verificar-CAfile: Certificado de la autoridad raíz-url: URL del servicio OCSP-resp_text: Mostrar respuesta en texto
Ejemplo de Respuesta OCSP
OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response Version: 1 (0x0) Responder Id: 2FB20C3CE3353B6C34B42176E0A54722D0C4040E Produced At: Feb 21 21:25:55 2023 GMT Responses: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: 6E99BDC63459EDF8272C538C5F6810FD4718F57C Issuer Key Hash: 2FB20C3CE3353B6C34B42176E0A54722D0C4040E Serial Number: 0E68DDF0 Cert Status: revoked Revocation Time: Feb 2 21:37:41 2023 GMT Revocation Reason: keyCompromise (0x1) This Update: Feb 21 21:25:55 2023 GMT Response Extensions: OCSP Nonce: 04107B56F097038216580BDA96AE72FB99F6 Signature Algorithm: sha256WithRSAEncryption 9c:c8:57:da:f7:c4:c9:dd:5f:8e:58:2c:df:75:55:ab:be:60: ff:5b:0b:37:9a:99:87:7c:b2:42:e0:8c:51:a4:4e:3c:33:bc: 3e:30:56:4f:28:aa:db:8f:b3:75:9a:d4:cb:3d:57:c3:04:fb: 68:f7:ea:ac:d5:14:5d:6e:ab:40:81:43:1f:93:1c:fd:ce:b5: 57:b8:d3:67:6f:4d:80:c1:d7:54:d5:05:8b:43:66:49:db:a6: 47:cd:31:ce:2d:fe:b8:d3:d0:b1:36:18:ba:d5:80:04:e4:89: 49:35:1c:82:26:3e:28:7b:7e:9f:e6:e0:08:ef:58:30:9a:4a: 16:b7:14:93:89:67:e5:ae:f4:3d:6f:d6:00:c1:f8:7e:29:38: 53:9b:5a:8c:ef:bf:0b:f9:94:e6:13:a8:9e:05:14:77:64:44: f2:02:c6:ba:dd:85:34:ef:4e:2e:c0:af:d5:59:e5:86:23:3a: df:7e:e5:14:47:d1:15:33:b9:23:9c:3f:5e:6c:ed:a0:64:c6: b5:df:80:6b:be:73:de:27:67:20:fd:e4:6c:e3:f6:59:f9:4c: 15:d4:5a:21:c6:b9:ab:4d:04:1e:d3:cf:ef:a7:e9:b2:23:ef: 54:4f:20:a2:bd:ab:7c:19:86:e5:14:80:4b:09:b0:58:a3:d1: 6f:f6:ee:62
Interpretación de la Respuesta:
- Estado: El certificado está REVOCADO
- Razón: Compromiso de clave (keyCompromise)
- Fecha de revocación: 2 de febrero de 2023
- Última actualización: 21 de febrero de 2023
Resultado de Verificación
11111111-1FEA.pem: revoked
This Update: Feb 21 21:25:55 2023 GMT
Reason: keyCompromise
Revocation Time: Feb 2 21:37:41 2023 GMT
Importante: Este certificado ha sido revocado y no debe ser utilizado para firmar documentos o autenticación.