OCSP Grapado

OCSP Grapado

Resumen

Antecedentes: CRL y OCSP

CRL significa Lista de Revocación de Certificados; Proporciona los medios para verificar el estado de revocación de un certificado instalado en un sitio web o utilizado para firmar digitalmente un documento. Las CRL son archivos binarios que contienen los números de serie de los certificados revocados y, en algunos casos, un motivo de revocación. Cada vez que se realiza una verificación de revocación, las aplicaciones del cliente necesitan la CRL de la CA emisora. En algunos casos, esto puede almacenarse en caché de las comprobaciones recientes, pero generalmente la CRL debe descargarse por completo y buscarse. Con el tiempo, las CRL crecen a medida que se revoca el número de certificados y esto da como resultado grandes CRL y una mayor latencia durante el protocolo de enlace TLS.

OCSP o Protocolo de estado de certificado en línea aborda algunos de los problemas de rendimiento y escalabilidad inherentes a las CRL. En lugar de tener que descargar una lista de revocación completa cada vez, el servidor OCSP puede consultarse como una base de datos para una entrada de certificado específica. La respuesta de OCSP está firmada por la CA y contiene un estado para el certificado.

Grapado OCSP

Con el grapado OCSP, el servidor obtiene previamente la respuesta OCSP para un certificado y la entrega al cliente durante el protocolo de enlace TLS. La respuesta se "engrapa" con el protocolo de enlace TLS. Todas las respuestas de OCSP están firmadas digitalmente por una autoridad de certificación y se actualizan a intervalos regulares. Este escenario es más propicio para la privacidad y el rendimiento, ya que no es necesario que el cliente se comunique con un tercero para verificar el estado de revocación. Toda la información necesaria es proporcionada por el servidor.

Implementación

El grapado OCSP se puede habilitar en una variedad de servidores, incluidos IIS, Apache y NGINX. Use los enlaces a continuación para obtener instrucciones sobre cómo habilitar el engrapado OCSP en Apache y NGINX. Use la barra de búsqueda para encontrar artículos adicionales sobre grapado OCSP.

Related Articles

Alertas de Sistema de GlobalSign

Ver alertas recientes del sistema.

Ver Alertas

Herramienta de Inventario para Certificados

Escanee sus puntos finales (endpoints) para localizar todos sus Certificados.

Iniciar sesión / Registrarse

Prueba de Configuración para SSL

Verifique la instalación de su certificado para detectar problemas y vulnerabilidades de SSL.