¿Qué es la revocación de certificados y cuándo debe revocarse un certificado SSL?
Los certificados digitales son vitales para la seguridad basada en la identidad. La gestión del ciclo de vida, incluida la revocación de certificados, es crucial. La revocación de certificados evita vulnerabilidades y violaciones de la seguridad.
Tabla de Contenidos
Los certificados digitales son la fuerza motriz de las actuales estrategias de seguridad basadas en la identidad, y dada la creciente dependencia de estos certificados (y su mayor volumen) no se puede negar la importancia de la gestión estratégica del ciclo de vida. A menudo, sin embargo, las personas o entidades que requieren certificados se centran en las primeras etapas de ese ciclo de vida: descubrimiento, emisión y, eventualmente, renovaciones. Sí, estos procesos son cruciales, pero a veces deben ir acompañados de otro paso, a menudo menos comprendido: la revocación de certificados.
La revocación de certificados invalida un certificado antes de que caduque. Se trata de un componente esencial del ciclo de vida de la gestión de certificados que hay que comprender, ya que ayuda a evitar vulnerabilidades y brechas de seguridad que podrían estar causadas por una clave privada comprometida, un certificado emitido erróneamente y mucho más.
En este artículo, repasaremos cuál es el propósito de esta etapa del ciclo de vida, cuándo es necesaria, qué implica y mucho más.
¿Para qué sirve la revocación de certificados?
La revocación de certificados actúa como salvaguarda en caso de que un certificado SSL/TLS se vea comprometido. Cuando se detectan indicios de problemas, los certificados digitales deben revocarse para evitar que usuarios no autorizados se hagan pasar por entidades o permitan de otro modo que los malos actores exploten los certificados comprometidos.
A nivel individual, esto garantiza que cada certificado sea capaz de llevar a cabo su función principal: establecer conexiones seguras y, en última instancia, una mayor tranquilidad. Las funciones de revocación también son importantes a mayor escala, ya que forman parte de esfuerzos más amplios de gestión de riesgos y pueden ayudar a mejorar la confianza entre servidores web, navegadores y otras partes.
Cuándo revocar un certificado SSL
Las revocaciones de certificados son muy comunes y no es raro que los titulares de certificados den este paso en algún momento. Estas son las principales razones por las que se revoca un certificado SSL:
- Compromiso de la clave. Uno de los principales problemas que provocan la revocación son los indicios de que las claves privadas del certificado han sido robadas o se han visto comprometidas de algún otro modo. Esto puede deberse a una mala gestión de las claves, a un cifrado deficiente o a muchos otros problemas, pero cuando esto ocurre, la revocación inmediata del certificado es esencial.
- Emisión errónea. Los certificados digitales están diseñados para verificar la identidad del titular del certificado. Si la Autoridad de Certificación (CA) no verifica adecuadamente esa identidad, es posible que la entidad que obtiene el certificado sea fraudulenta. En algunas situaciones, los actores de amenazas han conseguido obtener certificados mediante phishing y otras actividades maliciosas. Aunque trabajar con una CA muy respetada puede limitar la posibilidad de que se produzcan estos problemas, también es importante disponer de opciones de revocación para que, en el peor de los casos, los certificados emitidos erróneamente puedan revocarse rápidamente.
- Cambios en la propiedad del dominio. La revocación de certificados no siempre tiene un carácter estrictamente reaccionario. También puede producirse en respuesta a cambios en la titularidad de un dominio, con el objetivo de evitar un posible uso indebido por parte del nuevo titular del dominio. En esta situación, la revocación también está justificada debido a la posible falta de confianza que podría surgir si se pone en duda la autenticidad del certificado.
- Ciberataques. En caso de malware u otro ciberataque, la revocación inmediata es esencial. De lo contrario, los certificados comprometidos podrían participar en la propagación del malware.
¿Qué es una lista de revocación de certificados (CRL)?
Una lista de revocación de certificados (CRL) es un registro de certificados digitales que han sido revocados. Esta lista es creada y firmada por una autoridad de certificación, y proporciona una forma sencilla de indicar qué certificados ya no son válidos y no se debe confiar en ellos.
Las entradas de la CRL pueden incluir los números de serie de los certificados, junto con detalles sobre la fecha de revocación y la CA emisora. A continuación, se envían a diversos sitios de distribución para garantizar su accesibilidad, de modo que las partes que confían en ellas puedan descargar y almacenar en caché estos recursos con facilidad. Estas CRL deben actualizarse periódicamente para garantizar que los detalles sobre los certificados revocados son exactos.
¿Qué es el protocolo de estado de certificados en línea (OCSP)?
El protocolo de estado de certificados en línea (OCSP) permite comprobar el estado de los certificados en tiempo real, ya que los navegadores web y otras entidades pueden enviar una solicitud a un servidor OCSP para obtener información sobre el estado de revocación de un certificado. Esto ayuda a rellenar las lagunas de la CRL, ya que esa lista se actualiza periódicamente frente a en tiempo real.
El proceso OCSP comienza cuando el cliente realiza una solicitud a un respondedor OCSP, que puede ser operado directamente por la CA en cuestión. Al recibir esta solicitud OCSP, el respondedor comprueba inmediatamente el estado del certificado en cuestión. La respuesta resultante debería revelar inmediatamente si el certificado sigue siendo válido o ha sido revocado. El cliente puede entonces actuar en función de esta respuesta o continuar para comprobar la CRL y obtener detalles adicionales.
Reemisión de un SSL tras una revocación
La revocación es sólo una de las fases del ciclo de vida de un certificado, que incluye otras: emisión, uso y supervisión, caducidad y renovación. Cuando la revocación resulta necesaria, debe existir un plan para garantizar que sigue habiendo una cobertura sólida de certificados digitales válidos. Esto se gestiona normalmente mediante la reemisión, en la que se presenta una solicitud a la CA y se verifica la identidad de la persona o entidad que solicita el nuevo certificado.
Durante este proceso, pueden ser necesarias comprobaciones de estado adicionales para garantizar que los certificados comprometidos se han revocado correctamente. Además, la CA puede llevar a cabo una revisión exhaustiva para determinar las circunstancias que rodearon la revocación anterior. Esto es importante para promover solicitudes legítimas de reemisión. Al igual que en los procesos de renovación «típicos», la validación es crucial y abarca la revisión de la titularidad del dominio y otros detalles. A continuación, el nuevo certificado puede emitirse, instalarse y configurarse con confianza.
Conclusiones prácticas
La revocación de certificados desempeña un papel fundamental en el fomento de la seguridad digital. Es sólo un componente de la compleja serie de soluciones de certificados digitales que ofrece Sectigo Certificate Manager (SCM).
El objetivo: agilizar todos los aspectos de la gestión del ciclo de vida de los certificados para impulsar una mayor eficiencia y seguridad. También ofrecemos certificados SSL/TLS de alta confianza, que son críticos para autenticar identidades y crear conexiones seguras.
Explore estas oportunidades o inicie una prueba gratuita de SCM para descubrir el poder de la gestión automatizada del ciclo de vida de los certificados.
¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.
Entradas asociadas:
Cómo deben prepararse las empresas para periodos de validez de certificados SSL/TLS más cortos
Cómo funcionan el protocolo de estado de certificados en línea y el grapado OCSP, etc.
¿Qué es un sistema de gestión de certificados y cuándo es necesario un sistema automatizado?