¿Qué es OCSP?

Un conocido dicho afirma: confiar está bien, pero controlar es mejor. Esto es especialmente cierto en el ámbito de la seguridad de los datos y la privacidad en Internet. Aunque el cifrado de la comunicación mediante un certificado SSL ya es el estándar, esto no garantiza una seguridad absoluta. Porque si el certificado ha perdido su validez, el tráfico de datos deja de estar protegido. El protocolo de red OCSP ofrece una forma de validar el estado de un certificado.

¿Qué es OCSP?

El Online Certificate Status Protocol (OCSP) es un protocolo de red que permite determinar el estado de un certificado SSL. Para ello se envía una consulta a un responder OCSP. Se trata de un servidor que a menudo es operado por la entidad emisora del certificado.

El responder puede contestar la consulta con los siguientes estados:

• good: El certificado no está revocado.
• revoked: El certificado es inválido o ha sido revocado.
• unknown: El estado del certificado no se conoce. Esto podría ocurrir si la entidad emisora no es conocida por el responder.

¿Qué significa entonces que los certificados estén revocados?

¿Por qué se revocan los certificados?

Si los sitios web están cifrados con SSL, los certificados correspondientes están protegidos mediante una clave pública y una clave privada. En la solicitud de firma de certificado (CSR) también se registran algunos datos básicos que afectan al propietario del certificado. Cuando un navegador accede a un sitio web cifrado, envía una solicitud a la autoridad de certificación. Esta confirma la validez del certificado con la clave pública.

La validación de los certificados SSL la realiza el navegador de forma totalmente automática. No obstante, existe la posibilidad de que atacantes se hayan apoderado del certificado y redirijan las respuestas.

Si este fuera el caso, el emisor - una de las numerosas autoridades de certificación - está obligado a revocar inmediatamente el certificado. Sin embargo, el cliente que accede al sitio web no puede comprobarlo si la respuesta que espera de la autoridad de certificación ha sido manipulada. De este modo, la solicitud del navegador puede redirigirse a un servidor externo, de modo que este aparezca en el sistema como la autoridad de certificación responsable. En tal caso, el tráfico de datos dejaría de ser seguro y podría ser interceptado por terceros.

El protocolo de red OCSP y sus limitaciones

Aunque mediante OCSP se puede determinar el estado de diversos certificados SSL, el protocolo de red no puede ofrecer una visión completa sobre su validez. Para ello intervienen otros factores que deben comprobarse por separado.

Se trata de lo siguiente:

• Periodo de validez: Los certificados SSL tienen una validez limitada. Si el periodo ha expirado, el sitio web deja de ser seguro.
• Cadena de certificación: A través de la cadena de certificación se puede determinar la jerarquía de las autoridades certificadoras implicadas. Aquí solo deberían aparecer entidades de confianza.

Para comprobar un certificado SSL, el protocolo de red OCSP es una herramienta eficaz. No obstante, por sí solo no ofrece seguridad absoluta. Sin embargo, reduce considerablemente el riesgo de sufrir daños por un certificado comprometido.

Crédito de la imagen: Gerd Altmann en Pixabay