Cómo funcionan OCSP y OCSP Stapling para asegurar transacciones online

Es un aspecto esencial de la seguridad en línea, especialmente cuando se trata de información sensible o se realizan transacciones financieras en Internet. Como dependemos de los certificados SSL / TLS para validar las identidades de sitios web y organizaciones, debemos garantizar su fiabilidad y evitar que los delincuentes se aprovechen de certificados revocados para robar datos o cometer fraudes.

El Protocolo de Estado de Certificados en Línea (OCSP) permite a los clientes (por ejemplo, navegadores web) verificar la validez de los certificados digitales en tiempo real. Las listas de revocación de certificados (CRL), que son listas de certificados digitales que han sido revocados por la autoridad de certificación (CA) emisora antes de su fecha de caducidad prevista, también pueden utilizarse para comprobar certificados no fiables o revocados. Sin embargo, debido a que las CRL se actualizan a intervalos y proporcionan información obsoleta, y también a que las respuestas OCSP son más pequeñas que los archivos CRL y adecuadas para dispositivos con memoria limitada, a menudo se prefieren.

Veamos cómo funciona OCSP, sus pros y sus contras, los posibles problemas de privacidad que ayuda a resolver el grapado OCSP y en qué se diferencia de las listas de revocación de certificados (CRL).

Ciberseguridad de OCSP: ¿Qué es OCSP?

OCSP permite a los clientes comprobar el estado de revocación de un certificado digital enviando una solicitud a un servidor OCSP. Especifica la sintaxis para la comunicación entre el servidor y la aplicación cliente, como un navegador web. Al recibir una solicitud, el servidor indica al cliente si el certificado es válido o está revocado. Dado que la validación de certificados se produce en tiempo real, supera los posibles retrasos asociados a las CRL para garantizar una comunicación en línea segura.

OCSP es esencial en ciberseguridad. Ayuda a proteger la información transmitida digitalmente garantizando que el servidor web dispone de un certificado SSL/TLS válido para soportar el intercambio de datos cifrados. El protocolo también evita que los usuarios compartan información sensible con sitios web que utilizan certificados caducados o revocados, lo que puede indicar una seguridad comprometida.

El proceso de validación de certificados en tiempo real implica los siguientes pasos:

• Solicitud OCSP: Cuando un navegador inicia una SSL / TSL a un sitio web, el servidor web presenta un certificado digital. El navegador envía una solicitud OCSP al servidor OCSP especificado en el certificado.
  
• Respuesta OCSP: El servidor OCSP comprueba su base de datos, genera una respuesta con el estado actual del certificado (es decir, válido o revocado) y lo firma digitalmente para garantizar su integridad.
  
• Reacción del navegador a la respuesta OCSP: El navegador web recibe la respuesta y verifica la firma digital del servidor OCSP. Establecerá una conexión segura con el sitio web si el certificado es válido. Puede mostrar una advertencia al usuario o interrumpir la conexión si el sitio tiene un certificado revocado.

¿Por qué es necesaria la comprobación de revocación?

La revocación de certificados invalida un certificado digital antes de su caducidad. El proceso mantiene la seguridad y fiabilidad de los certificados digitales al permitir a los usuarios comprobar la validez de un certificado antes de confiar en su función de cifrado para compartir datos confidenciales.

La comprobación de la revocación evita que los usuarios confíen en los certificados SSL/TLS revocados. La revocación puede producirse debido a:

• Una clave privada comprometida
  
• Mala conducta del titular del certificado
  
• Información incorrecta o cambios en la información sobre la entidad en línea
  
• Errores en la emisión del certificado
  
• Una autoridad de certificación (CA) comprometida

Ventajas del protocolo de estado de certificados en línea

• La validación en tiempo real del estado de un certificado mejora la seguridad al reducir la ventana de oportunidad para que los actores maliciosos exploten los certificados TLS/SSL revocados.
  
• El protocolo distribuye la comprobación del estado entre los servidores OCSP operados por CA y terceros. Como tal, OCSP tiene una sobrecarga de servidor mucho menor que la descarga de grandes archivos CRL.
  
• Es más eficiente analizar las consultas OCSP que las CRL, gracias a su menor tamaño, lo que reduce el ancho de banda y los requisitos de procesamiento para el cliente y el servidor.

Desventajas del protocolo de estado de certificados en línea

• El proceso de verificación puede filtrar información sobre el contenido al que accede un usuario, lo que puede utilizarse para rastrear comportamientos de usuarios y causar problemas de privacidad.
  
• Los respondedores OCSP podrían convertirse en un único punto de fallo si experimentan un tiempo de inactividad prolongado o se ven comprometidos, provocando una denegación de servicio o problemas de seguridad.
  
• Las comprobaciones OCSP pueden introducir problemas de latencia si el respondedor es lento o tiene problemas de red. Algunos navegadores almacenan en caché las respuestas OCSP, lo que puede permitir que los certificados revocados recientemente se escapen.

¿Qué es el grapado OCSP?

El grapado OCSP (o extensión de solicitud de estado de certificado TLS) permite a un servidor web obtener de forma proactiva una respuesta OCSP firmada digitalmente y con sello de fecha y hora y enviarla al cliente como parte del proceso de enlace TLS. Acorta el tiempo necesario para establecer una conexión porque el cliente no tiene que enviar una consulta al respondedor OCSP.

Así es como funciona el grapado OCSP para ayudar a agilizar el proceso de verificación:

• El servidor web envía regularmente solicitudes OCSP automatizadas al respondedor OCSP.
  
• El respondedor OCSP proporciona al servidor una validación con marca de tiempo.
  
• El servidor almacena en caché la respuesta y envía la verificación OCSP firmada digitalmente con el mensaje de certificado a un cliente durante el protocolo de enlace TLS/SSL.
  
• El cliente verifica el estado del certificado sin enviar una solicitud por separado al respondedor OCSP.
  

El grapado OCSP mejora la velocidad del protocolo TLS combinando dos peticiones. Acorta el tiempo de carga de las páginas web cifradas, mejorando la experiencia del usuario. También garantiza la privacidad del usuario final porque el cliente no tiene que conectarse con el servidor OCSP.

CRL frente a OCSP

Una CRL es una lista de certificados digitales revocados por una CA antes de su fecha de caducidad programada. OCSP y CRL tienen el mismo objetivo principal: indicar a los clientes en qué certificados digitales ya no pueden confiar para mantener la seguridad y fiabilidad de la infraestructura de clave pública (PKI). Los gestionan las CA o terceros de confianza y ayudan a evitar el uso de certificados comprometidos o fraudulentos.

Sin embargo, estos dos mecanismos funcionan de forma diferente:

• OCSP proporciona comprobaciones del estado de los certificados en tiempo real, mientras que las CRL se actualizan periódicamente.
  

• OCSP envía una solicitud de red independiente para cada validación de certificado, lo que puede aumentar el tráfico de red. Por otro lado, los clientes sólo necesitan descargar las CRL periódicamente.
  
• OCSP es más adecuado para escalar grandes PKI con muchos certificados distribuyendo la carga de trabajo. Las CRL pueden resultar engorrosas porque los clientes tienen que descargar archivos de gran tamaño.
  
• OCSP plantea problemas de privacidad cuando se utiliza sin engrapado OCSP. En cambio, las CRL no plantean problemas de privacidad porque no implican consultas externas.

El futuro de OCSP

A medida que evolucionen las ciberamenazas y los delincuentes ideen nuevas técnicas para poner en peligro los certificados digitales, la validación en tiempo real que ofrece el protocolo OCSP será aún más crítica. Mientras tanto, se desarrollarán más métodos de preservación de la privacidad, como el grapado OCSP, para dar respuesta a los problemas de privacidad de las consultas OCSP.

Aunque surgirán nuevas tecnologías de validación, es probable que OCSP siga siendo la base, ya que está profundamente integrado en los protocolos de seguridad existentes. Sin embargo, esperamos que se introduzcan mejoras y mejoras para abordar sus limitaciones actuales.

Por ejemplo, OCSP puede llegar a ser más eficiente y escalable para soportar el Internet de las Cosas (IoT). Mientras tanto, la infraestructura de certificados y los métodos de validación evolucionarán para resistir los ataques cuánticos. Además, es posible que veamos la tecnología blockchain integrada en la gestión de certificados para crear un libro de contabilidad a prueba de manipulaciones.

OCSP es un componente crítico de PKI para ayudar a garantizar la fiabilidad de los certificados y evitar el uso de certificados comprometidos o revocados. La comprobación de validez en tiempo real mejora la seguridad en línea, pero las empresas deben asegurarse de que todos sus certificados digitales son válidos para minimizar los costosos cortes e interrupciones.

Por este motivo, cada vez más organizaciones utilizan Sectigo Certificate Manager (SCM) para obtener una visión general de su inventario. SCM también les permite automatizar la emisión y renovación de certificados X.509 utilizando los protocolos Enrollment over Secure Transport (EST) y ACME. Además, puede gestionar y comprar todos sus certificados SSL/TLS en un solo lugar para agilizar los flujos de trabajo y mejorar la eficiencia.

Obtenga más información sobre Sectigo Certificate Manager e inicie su prueba gratuita hoy mismo.

¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.