Avalados por :
Validación de Certificados X.509 y Listas de Revocación: Pasos, Métodos y Consideraciones SEO
- Creado 01/03/2024
- Modificado 01/03/2024
- 10 Vistas
0
Cargando...
The CommonCryptoLib (CCL) realiza la validación de certificados X.509.
La validación de certificados consta de tres pasos básicos:
Para el tercer paso, el CCL cuenta con una funcionalidad opcional integrada para la validación de Listas de Revocación de Certificados (CRL) que se puede habilitar para TLS, SNC o SSF por separado.
Un caso de uso común para esto sería la validación de certificados de cliente X.509 utilizados para SSO con SAP GUI y SAP Secure Login Client 3.0 (SLC).
Por favor, también lee los otros posts de blog de esta serie:
CommonCryptoLib: versiones de protocolo TLS y suites de cifrado
CommonCryptoLib: versiones de protocolo SNC y suites de cifrado
CommonCryptoLib: Gestionar archivos PSE y credenciales SSO (cred_v2)
CommonCryptoLib: validación de Lista de Revocación de Certificados
Actualizaciones:
Mientras que la integridad y validez de los certificados se verifican en la mayoría de los casos, el estado de revocación a menudo se considera como un paso opcional. En muchos casos no está habilitado.
Echemos un vistazo a un ejemplo:
Un certificado de cliente X.509 - como cualquier certificado - tiene una vida útil determinada. La fecha válida puede mantener un certificado válido incluso si ya no se desea. Para asegurarse de que los certificados que han sido comprometidos no puedan seguir siendo utilizados, un certificado puede ser revocado por su CA emisora. Imagina que un usuario deja la empresa antes de que expire su certificado de autenticación. Si aún tiene posesión del certificado, aún puede usarlo con fines de autenticación. Para solucionar la situación, el certificado de cliente X.509 debe ser revocado. En consecuencia, un servidor debe verificar el estado de revocación del certificado además de su integridad y validez.
Básicamente, hay dos métodos para hacer esto:
El certificado en nuestro ejemplo será revocado por la CA emisora. Todos los certificados revocados se agregarán a la CRL de la CA emisora. La CRL será publicada por un punto de distribución de CRL (CRL DP) que está listado en los atributos de los certificados de la CA emisora. Con todo esto, el servidor puede validar si un certificado está revocado consultando la CRL previamente descargada (en caché).
La validación de certificados consta de tres pasos básicos:
- verificar la integridad de los certificados (Construir la Cadena y Validar Firmas)
- verificar la validez (Verificar Fechas de Validez, Política y Uso de Claves) y
- verificar el estado de revocación (Consultar Autoridades de Revocación).
Para el tercer paso, el CCL cuenta con una funcionalidad opcional integrada para la validación de Listas de Revocación de Certificados (CRL) que se puede habilitar para TLS, SNC o SSF por separado.
Un caso de uso común para esto sería la validación de certificados de cliente X.509 utilizados para SSO con SAP GUI y SAP Secure Login Client 3.0 (SLC).
Por favor, también lee los otros posts de blog de esta serie:
CommonCryptoLib: versiones de protocolo TLS y suites de cifrado
CommonCryptoLib: versiones de protocolo SNC y suites de cifrado
CommonCryptoLib: Gestionar archivos PSE y credenciales SSO (cred_v2)
CommonCryptoLib: validación de Lista de Revocación de Certificados
Actualizaciones:
2023-09-12: Se añadieron algunas notas sobre Delta CRL y CRL sharding. Se añadieron más detalles sobre la obtención y adición de CRL a la caché.
2023-01-10: Enlace de retroceso
https://protect4s.com/2022/12/06/how-certificate-management-sap-security/
Lista de Revocación de Certificados (CRL)
Mientras que la integridad y validez de los certificados se verifican en la mayoría de los casos, el estado de revocación a menudo se considera como un paso opcional. En muchos casos no está habilitado.
Echemos un vistazo a un ejemplo:
Un certificado de cliente X.509 - como cualquier certificado - tiene una vida útil determinada. La fecha válida puede mantener un certificado válido incluso si ya no se desea. Para asegurarse de que los certificados que han sido comprometidos no puedan seguir siendo utilizados, un certificado puede ser revocado por su CA emisora. Imagina que un usuario deja la empresa antes de que expire su certificado de autenticación. Si aún tiene posesión del certificado, aún puede usarlo con fines de autenticación. Para solucionar la situación, el certificado de cliente X.509 debe ser revocado. En consecuencia, un servidor debe verificar el estado de revocación del certificado además de su integridad y validez.
Básicamente, hay dos métodos para hacer esto:
- consultar la CRL que es mantenida por la CA emisora.
- realizar una verificación en línea del estado de los certificados utilizando el Protocolo de Estado de Certificado en Línea (OCSP).
Por favor nota: En el momento de la escritura, el CommonCryptoLib solo admite la verificación de CRL. En otras palabras, como el Protocolo de Estado de Certificado en Línea (OCSP) no es compatible, nos centraremos en la CRL.
El certificado en nuestro ejemplo será revocado por la CA emisora. Todos los certificados revocados se agregarán a la CRL de la CA emisora. La CRL será publicada por un punto de distribución de CRL (CRL DP) que está listado en los atributos de los certificados de la CA emisora. Con todo esto, el servidor puede validar si un certificado está revocado consultando la CRL previamente descargada (en caché).
Excursus:
Si la CA emite muchos certificados, la CRL podría crecer mucho. En este caso, la CA puede decidir publicar adicionalmente una llamada delta CRL. La delta CRL incluye todos los certificados que han sido revocados desde que se publicó la última CRL completa. La delta CRL se publica con más frecuencia que la CRL completa, pero es de menor tamaño. La CRL debe ser publicada de vez en cuando para deshacerse de los certificados listados que entretanto hayan expirado.
Para CAs muy grandes, la CRL completa podría crecer aún más. En estos casos, la CA puede decidir hacer uso de la fragmentación de CRL. Y para
Pedro Pascal
Se unió el 07/03/2018
Facebook
Twitter
Pinterest
Telegram
Linkedin
Whatsapp
Sin respuestas
No hay respuestas para mostrar
Se el primero en responder
contacto@primeinstitute.com
(+51) 1641 9379
(+57) 1489 6964
© 2024 Copyright. Todos los derechos reservados.
Desarrollado por Prime Institute
Hola ¿Puedo ayudarte?