La mayoría de las aplicaciones que dependen de certificados X.509 necesitan validar el estado de los certificados que usan cuando se realizan operaciones de autenticación, firma o cifrado. Esta comprobación de la validez y revocación de certificados se lleva a cabo en todos los certificados de una cadena de certificados, hasta el certificado raíz. Si el certificado raíz, o cualquier certificado de la cadena, no es válido, los certificados que se encuentran por debajo del certificado no válido de la cadena también carecerán de validez.

La validación incluye lo siguiente:

  • La firma de cada certificado es válida.

  • La fecha y hora actual están dentro del período de validez de cada certificado.

  • Ningún certificado está dañado ni tiene un formato incorrecto.

Además, se comprueba el estado de revocación de cada certificado de la cadena de certificados. La comprobación de revocación se puede realizar mediante la lista de revocación de certificados (CRL) o mediante respuestas del Protocolo de estado de certificados en línea (OCSP).

¿Qué es OCSP?

El Respondedor en línea de Microsoft implementa el protocolo OCSP, que permite que el destinatario de un certificado pueda enviar una solicitud de estado de certificado a un Respondedor de OCSP mediante el Protocolo de transferencia de hipertexto (HTTP). Este Respondedor de OCSP devuelve una respuesta definitiva y firmada digitalmente donde se indica el estado del certificado. La cantidad de datos recuperada por solicitud es constante, independientemente del número de certificados revocados en la CA.

Para obtener más información, consulte RFC 2560, sobre el Protocolo de estado de certificados en línea (OCSP) de la infraestructura de clave pública X.509 (https://go.microsoft.com/fwlink/?LinkID=71068) (puede estar en inglés).

Respondedor en línea

La implementación de Microsoft de OCSP (Respondedor en línea) se divide en componentes cliente y servidor. El componente cliente se integra en la biblioteca CryptoAPI 2.0, mientras que el componente servidor se introduce como un nuevo servicio suministrado por el rol de servidor Servicios de certificados de Active Directory (AD CS). El siguiente proceso describe cómo interactúan los componentes cliente y servidor:

  1. Cuando una aplicación intenta comprobar un certificado que especifica ubicaciones de Respondedores de OCSP, el componente cliente busca primero en la memoria local y las cachés de disco una respuesta OCSP en caché que contenga datos actuales de revocación.

  2. Si no encuentra una respuesta en caché aceptable, se envía una solicitud a un Respondedor en línea mediante el protocolo HTTP.

  3. El proxy web del Respondedor en línea decodifica y comprueba la solicitud. Si la solicitud es válida, se busca la información de revocación necesaria para cumplimentar la solicitud en la caché del proxy web. Si la información actual no está disponible en la caché, la solicitud se envía al servicio Respondedor en línea.

  4. El servicio Respondedor en línea recibe la solicitud y comprueba una CRL local, si está disponible, y una copia en caché de la CRL más reciente emitida por la CA.

  5. Si el certificado no aparece en las listas de revocación locales o en caché, el proveedor de revocación obtiene una CRL de CA actualizada, si está disponible, de las ubicaciones enumeradas en la configuración de revocación, a fin de comprobar el estado del certificado. A su vez, el proveedor devuelve el estado del certificado al servicio Respondedor en línea.

  6. A continuación, el proxy web codifica y envía la respuesta al cliente para informarle de que el certificado es válido. También guarda en caché una copia de la respuesta durante un período de tiempo limitado, en caso de que existan solicitudes de estado adicionales sobre este certificado.


Tabla de contenido