Lista de revocación de certificados – Guía completa

Última actualización por Dionisie Gitlan
Certificate Revocation List

Bienvenido a la guía esencial sobre las listas de revocación de certificados (CRL), un aspecto crítico de la seguridad en línea. Esta guía le ayudará a descifrar la jerga e ir directamente al grano.

¿Alguna vez se ha preguntado qué ocurre cuando un certificado digital deja de ser fiable? Piense en ello como una bandera roja en el mundo digital, que señala riesgos potenciales. Estamos aquí para explicarle qué son las CRL, qué contienen y por qué deberían importarle.

Proporcionaremos ejemplos reales de certificados revocados, mostrándole las consecuencias tangibles de pasar por alto su importancia. Al final de esta guía, comprenderá la importancia de las comprobaciones regulares de CRL para mantener la integridad de los certificados digitales.

Sin florituras, sólo hechos. Vayamos directamente al grano. ¿Qué es una CRL en ciberseguridad?

Índice

  1. ¿Qué es una lista de revocación de certificados?
  2. ¿Para qué sirven las listas de revocación de certificados?
  3. ¿Qué incluye una CRL?
  4. ¿Cómo funciona el CRL?
  5. Cómo ver el estado de revocación del certificado

¿Qué es una lista de revocación de certificados?

Una lista de revocación de certificados, o CRL, es esencialmente una lista negra de certificados digitales desacreditados. Mantenida por una autoridad de certificación (CA), esta lista contiene todos los certificados SSL que la CA ha revocado antes de sus fechas de caducidad programadas. Este proceso también se conoce como revocación de certificados PKI.

Cuando navega por Internet, su navegador comprueba constantemente esta lista. Si encuentra un certificado en la CRL, no confiará en el sitio web o servicio asociado a ese certificado. Es una medida de seguridad esencial que ayuda a garantizar la integridad de la transmisión de datos en línea.

Lista de revocación de certificados
Imagen de Freepik

Pero, ¿para empezar, por qué iban las CA a revocar un certificado? Las razones pueden ser múltiples. Puede que la clave privada del certificado esté comprometida o que la CA haya emitido el certificado por error. Sea cual sea el motivo, una vez que un certificado aparece en la CRL, deja de ser de confianza.

Para garantizar la eficacia de esta medida de seguridad, las CA deben actualizar periódicamente la CRL y hacerla fácilmente accesible a los sistemas de los usuarios. Es una de las principales responsabilidades de la Autoridad de Certificación. También deben proporcionar un mecanismo para que los usuarios comprueben el estado de revocación de los certificados, normalmente a través de un servicio en línea.

¿Para qué sirven las listas de revocación de certificados?

La CRL es una herramienta que mejora la seguridad en línea gestionando y haciendo un seguimiento de los certificados inseguros que podrían comprometer la seguridad de un sistema. Su propósito es proporcionar un estricto sistema de control y equilibrio, señalando cualquier certificado cuestionable para prevenir posibles ciberataques.

Si comprende la función de la CRL, podrá gestionar mejor su marco de seguridad digital. He aquí algunos puntos clave a tener en cuenta:

  • Las CRL contienen certificados que ya no son válidos.
  • Las actualizaciones periódicas de la CRL son necesarias para realizar un seguimiento de los certificados no válidos.
  • El uso de CRL reduce el riesgo de uso indebido de certificados.
  • Garantizar la validez de los certificados SSL mediante CRL es una medida de seguridad proactiva.

Ventajas del CRL

El CRL ofrece varias ventajas clave:

  • Impide el acceso no autorizado invalidando inmediatamente los certificados comprometidos.
  • Es compatible con el protocolo de estado de certificados en línea (OCSP), que verifica el estado de un certificado digital.
  • Mejora la ciberseguridad general al mantener la integridad de los certificados.
  • Mitiga los riesgos cibernéticos potenciales asociados a certificados comprometidos o caducados.
  • Garantiza un entorno en línea seguro y fiable, fomentando la confianza.

Gestión de certificados inseguros

Al tiempo que refuerza su seguridad en línea, es crucial comprender el propósito de la CRL en la gestión de certificados inseguros.

Como ya sabe, una CRL es una lista de certificados de clave pública revocados por la Autoridad de Certificación emisora antes de su caducidad. Estos certificados, conocidos como certificados no fiables, se invalidan por varias razones, como el compromiso de la clave privada o si han sido firmados fraudulentamente. Suponen un riesgo importante para su seguridad en línea.

De ahí que el CRL desempeñe un papel integral en la reducción de este riesgo. Facilita la rápida identificación y rechazo de certificados no fiables, evitando el acceso de terceros y posibles violaciones de datos.

¿Qué incluye una CRL?

Una CRL incluye elementos vitales como el nombre de la autoridad de certificación, la hora de actualización de la lista y una lista de certificados revocados, cada uno con su propio número de serie y fecha de revocación.

  1. Número de versión: Indica la versión del formato CRL.
  2. Identificador del algoritmo de firma: Especifica el algoritmo utilizado por la CA para firmar la CRL.
  3. Emisor: Identifica a la entidad (normalmente una Autoridad de Certificación) que emitió la CRL.
  4. Esta actualización: Indica la fecha de emisión de la CRL.
  5. Próxima actualización: Especifica cuándo está prevista la emisión de la próxima CRL. Hasta esa fecha, la CRL actual se considera válida.
  6. Certificados revocados: Contiene una lista de certificados digitales que la CA ha revocado. Cada entrada incluye el número de serie, la fecha de revocación y, a veces, un código de motivo.
  7. Extensiones: Información o características adicionales, como punto de distribución CRL, identificador de clave de autoridad u otras extensiones personalizadas.

La CRL es actualizada periódicamente y distribuida por la CA para garantizar que las partes confiantes (entidades que utilizan los certificados) puedan acceder a la información más reciente sobre los certificados revocados dentro de un plazo.

¿Cómo funciona el CRL?

Veamos ahora cómo funciona el CRL. Las CRL se distribuyen a puntos específicos, seguidos de una meticulosa comprobación de revocación. La gestión de los certificados revocados y la actualización periódica de la CRL son pasos cruciales para garantizar la eficacia y la seguridad del sistema.

Puntos de distribución de CRL

Los puntos de distribución de CRL son una parte fundamental del funcionamiento de las CRL. Son servidores que almacenan y distribuyen CRL. Actúan como centro de gestión y verificación del estado de los certificados digitales.

El punto de distribución recibe actualizaciones de la CA sobre el estado de revocación de los certificados. Cada vez que se revoca un certificado, la CA actualiza el punto de distribución CRL.

Las entidades finales, como los navegadores, pueden consultar el punto de distribución CRL para comprobar el estado de revocación de un certificado. El punto de distribución transmite la CRL a todas las entidades que la solicitan.

Proceso de comprobación de revocación

Sin perder de vista el papel de los puntos de distribución de CRL, vamos a profundizar en cómo funciona realmente el proceso de comprobación de la revocación, o el funcionamiento de la CRL.

Durante el proceso de comprobación de revocación de certificados, el sistema primero obtiene la CRL de un punto de distribución especificado. Esta lista contiene todos los certificados que han sido revocados antes de su fecha de caducidad.

A continuación, el sistema coteja el certificado presentado con esta lista. Si el certificado se encuentra en la CRL, se considera no fiable y se rechaza la conexión. Este proceso garantiza que no se confíe erróneamente en los certificados revocados, manteniendo la seguridad.

Sin embargo, es crucial que la CRL se mantenga actualizada, ya que la información obsoleta puede comprometer la integridad del proceso de comprobación.

Gestión de certificados revocados

Así es como funciona el proceso CRL:

  • La CA emite certificados y también mantiene la CRL.
  • Si un certificado se ve comprometido, la CA lo revoca.
  • La CA actualiza la CRL para incluir el número de serie de los certificados revocados.
  • Cuando un servidor recibe el certificado de un cliente, comprueba la CRL.
  • El servidor rechaza la conexión si el certificado del cliente está en la CRL.

Actualización periódica de la CRL

El emisor de la CRL publica periódicamente actualizaciones para mantener la integridad y fiabilidad de la lista. Esta actualización periódica elimina el riesgo de que la información quede obsoleta, lo que podría comprometer la seguridad de su sistema y sus datos confidenciales.

La actualización no es una mera tarea manual. En cambio, implica un proceso complejo y técnico dictado por protocolos específicos. Cuando una CA revoca un certificado, actualiza la CRL. A continuación, la CRL es firmada digitalmente por el emisor y distribuida a todas las entidades que confían en ella. Este proceso debe ejecutarse correctamente, ya que los errores pueden provocar importantes vulnerabilidades de seguridad.

Cómo ver el estado de revocación del certificado

El acceso a una CRL depende de la autoridad de certificación específica que haya emitido los certificados que le interesan. Normalmente, las CA ponen a disposición las CRL en puntos de distribución específicos, tal y como se especifica en los certificados.

Para encontrar el punto de distribución de la CRL, puede inspeccionar el propio certificado. He aquí una guía general para la comprobación del estado de revocación de certificados:

A través de los detalles del certificado en su navegador

Si tiene el archivo del certificado, normalmente puede abrirlo utilizando un visor de certificados o una aplicación que admita la inspección de certificados.

  1. Haga clic en el icono del candado situado junto a la URL.
  2. Haga clic en La conexión es segura y luego en El certificado es válido.
  3. Busque la extensión CRL Distribution Points (CDP).
  4. La extensión CDP contiene una o varias URL que apuntan a las ubicaciones donde se publican las CRL.
  5. Abra la pestaña Detalles y, en Campos del certificado, desplácese hasta Extensión.
  6. Haga clic en los puntos de distribución CRL.
  7. En el campo Valor, copie la URL y péguela en la barra de direcciones.
  8. El navegador descargará el archivo CRL. Ábrala para ver la información de la lista de revocación.
Vista CRL en Chrome

A través de OpenSSL

He aquí un ejemplo de cómo utilizar OpenSSL para recuperar una CRL:

openssl crl -inform DER -in exampleca.crl -text

Sustituya exampleca.crl por el nombre de archivo o URL reales de la CRL que desea inspeccionar.

Tenga en cuenta que algunas CA pueden proporcionar CRL a través de mecanismos diferentes, como LDAP (Lightweight Directory Access Protocol) u otros protocolos. Además, algunas CA pueden ofrecer servicios OCSP (Online Certificate Status Protocol) como alternativa a las CRL.

Si trabaja con una CA específica, consulte su documentación o su sitio web para obtener información sobre cómo acceder a sus archivos CRL. Si sólo busca ejemplos, algunas CA ofrecen CRL de muestra o a disposición del público con fines de prueba, pero sea prudente y respete las condiciones de uso asociadas a dichos recursos.

PREGUNTAS FRECUENTES

¿Dónde puedo encontrar la lista de revocación de certificados?

Para ejecutar una comprobación de certificados, el cliente se conecta a las URL especificadas por la autoridad de certificación para descargar las listas de revocación de certificados. Estas listas contienen información sobre los certificados revocados. Puede encontrar las URL CRL en los Detalles del certificado SSL, en Extensiones de certificado, concretamente en la sección Puntos de distribución CRL.

¿Cómo se crea una lista de revocación de certificados?

Para crear una CRL, utilice una herramienta o software de CA para generar la lista, incluidos los detalles de los certificados revocados, y luego distribuya la CRL a las entidades que confían en ella para la validación de certificados en un sistema de infraestructura de clave pública (PKI ).

¿Cómo puedo ver la lista de revocación de certificados en Windows?

En Windows, puede ver la Lista de revocación de certificados (CRL) abriendo el Administrador de certificados mediante el comando “certmgr.msc”, navegando hasta la carpeta “Listas de revocación” y seleccionando la CRL deseada para ver sus detalles. También puede utilizar el comando “certutil” en el símbolo del sistema con la opción “-urlcache” seguida de la URL de la CRL para mostrar información sobre la CRL.

¿Cuál es la diferencia entre CRL y OCSP?

Ambos métodos se utilizan en ciberseguridad para comprobar si un certificado digital, como los utilizados en HTTPS, sigue siendo válido. La principal diferencia radica en cómo proporcionan esta información: CRL utiliza una lista actualizada periódicamente de certificados revocados, mientras que OCSP consulta directamente a una autoridad de certificación en tiempo real para confirmar el estado de un certificado.

¿Quién comprueba el estado de revocación del certificado?

La responsabilidad de comprobar el estado de revocación del certificado recae en el cliente (navegador). Es obligación del navegador verificar si un certificado ha sido revocado antes de establecer una conexión.

¿Qué ocurre con un certificado revocado?

La revocación de un certificado significa que ya no se considera válido. Las partes de confianza, como los navegadores, rechazarán en consecuencia las conexiones basadas en ese certificado, reforzando la seguridad y mitigando los riesgos potenciales.

Conclusión

En conclusión, una Lista de Revocación de Certificados ayuda a mantener la seguridad de las comunicaciones digitales invalidando rápidamente los certificados comprometidos o revocados. Su aplicación eficaz garantiza la integridad y fiabilidad de las transacciones y comunicaciones en línea. A medida que evoluciona la tecnología, el perfeccionamiento continuo del CRL en los mecanismos de ciberseguridad sigue siendo imprescindible para mantener la solidez de los marcos de seguridad digital.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

¡Ahorra un 10% ahora!
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Entradas relacionadas
What Is a CA Bundle
¿Qué es un paquete CA en SSL y cómo crearlo?
Root and Intermediate Certificates
Certificados raíz e intermedios: ¿cuál es la diferencia?
Certificate Authority
¿Qué es una autoridad de certificación y cómo funcionan?
What Is a CAA Record
¿Qué es un registro CAA y cómo funciona?
SSL Warranty
¿Qué es la garantía de un certificado SSL y cómo funciona?