Todos los certificados se emiten con un período de validez específico. La revocación de un certificado invalida su credencial de seguridad de confianza antes de que expire su período de validez original. Hay una serie de motivos por los que un certificado puede dejar de ser de confianza como credencial de seguridad antes de la fecha de expiración programada. Algunos ejemplos son:
-
Riesgo o posible riesgo de la clave privada del sujeto del certificado.
-
Riesgo o posible riesgo de la clave privada de la entidad de certificación (CA).
-
Detección de la obtención fraudulenta de un certificado.
-
Cambio de estado del sujeto del certificado como entidad de confianza.
-
Cambio de nombre del sujeto del certificado.
No siempre es posible ponerse en contacto con una CA u otro servidor de confianza para obtener información acerca de la validez de un certificado. Para realizar correctamente la comprobación del estado del certificado, el cliente debe tener acceso a los datos de revocación para determinar si el certificado es válido o se ha revocado. Para permitir diversas situaciones, los Servicios de certificados de Active Directory (AD CS) son compatibles con varios métodos de revocación de certificados estándares del sector. Estos métodos incluyen la publicación de listas de revocación de certificados (CRL) y diferencias CRL, las cuales se pueden poner a disposición de los clientes desde varias ubicaciones, incluidos los Servicios de dominio de Active Directory (AD DS), los servidores web y los recursos compartidos de archivos de red.
Nota | |
En Windows Server 2008 R2 y Windows Server 2008, se puede usar un Respondedor en línea para facilitar el acceso a los datos de CRL en entornos de red complejos. Un Respondedor en línea usa los datos de revocación de certificados de las CRL y procesa las solicitudes de estado de certificado de los clientes de forma individual. |
Las CRL son listas completas firmadas digitalmente de certificados que se han revocado. Estas listas se publican periódicamente, los clientes las pueden recuperar y almacenar en la caché (según la duración configurada para la CRL) y se usan para comprobar el estado de revocación de un certificado.
Dado que el tamaño de las CRL puede aumentar considerablemente en función del número de certificados emitidos y revocados por una CA, también puede publicar CRL de menor tamaño llamadas diferencias CRL. Las diferencias CRL sólo contienen los certificados revocados desde que se publicó la última CRL normal. Esto permite a los clientes recuperar las diferencias CRL de menor tamaño y generar más rápidamente una lista completa de certificados revocados. El uso de las diferencias CRL permite además publicar los datos de revocación con mayor frecuencia debido a que el tamaño de las diferencias CRL no suele requerir tanto tiempo para la transferencia como una CRL completa.