Hoy en día es obligatorio para todos los sitios web disponer de un certificado SSL válido firmado por una autoridad de certificación de confianza. Si su certificado ha caducado o ha sido revocado, los navegadores ya no confiarán en él. Los navegadores utilizan el Protocolo de Estado de Certificados en Línea (OCSP) para determinar la validez de su certificado SSL. Sin embargo, el OCSP original tiene algunas deficiencias, que la tecnología de grapado OCSP supera con éxito.
En este artículo, aprenderá qué es el grapado OCSP, cómo funciona y por qué es importante en la gestión e infraestructura SSL.
Índice
- ¿Qué es OCSP?
- ¿Qué es el grapado OCSP?
- Cómo funciona el grapado OCSP
- ¿Cuáles son las ventajas del grapado OCSP?
- ¿Cuáles son las limitaciones del grapado OCSP?
- ¿Qué navegadores soportan el grapado OCSP?
- ¿Cómo verificar si su servidor tiene activado el grapado OCSP?
- ¿Cómo activar el grapado OCSP?
¿Qué es OCSP?
En términos sencillos, OCSP es una forma de que su dispositivo (móvil o de sobremesa) compruebe si un certificado digital utilizado por un sitio web sigue siendo válido.
Los certificados SSL protegen los sitios web y las transacciones en línea verificando su identidad y cifrando los datos intercambiados entre los navegadores de los usuarios y los servidores de los sitios. Sin embargo, todos los certificados de confianza tienen una fecha de caducidad. Además, pueden ser revocados durante incidentes críticos de seguridad y dejan de ser de confianza.
Ahí es donde entra OCSP. Cuando visite un sitio web que utilice HTTPS, su navegador comprobará con la autoridad de certificación (CA) del sitio web si el certificado sigue siendo válido.
Este proceso se realiza en segundo plano y, si el certificado deja de ser válido, su navegador mostrará un mensaje de advertencia para alertarle de posibles riesgos de seguridad.
¿Qué es el grapado OCSP?
El grapado OCSP es una tecnología que mejora el rendimiento y la seguridad de la comprobación del Protocolo de Estado de Certificados en Línea (OCSP) que realiza un navegador web para validar el certificado SSL del sitio web.
Con el grapado OCSP, el servidor del sitio web obtiene la respuesta OCSP de la autoridad de certificación y la “grapa” al certificado SSL durante el proceso de enlace SSL. La respuesta engrapada se envía entonces al navegador junto con el certificado, eliminando la necesidad de que el navegador realice una comprobación OCSP por separado.
¿Qué es OCSP Must-Staple?
OCSP Must-Staple es una extensión de seguridad que puede añadirse a un certificado SSL para garantizar que se comprueba el estado del certificado cada vez que se visita un sitio web. Cuando un certificado tiene activada la función OCSP Must-Staple, el servidor del sitio web está obligado a enviar al cliente una grapa OCSP cada vez que recibe un certificado SSL.
Si el servidor no puede obtener una respuesta válida al comprobar el estado del certificado, el sitio web no se cargará. Esto ayuda a evitar que los atacantes utilicen certificados revocados para suplantar sitios web o interceptar datos sensibles.
¿En qué se diferencia el grapado OCSP de las CRL?
El grapado OCSP y las listas de revocación de certificados (CRL) se utilizan para comprobar el estado de revocación de los certificados SSL. Sin embargo, operan e impactan en el proceso de handshake SSL de forma diferente.
Las listas de revocación de certificados (CRL) son repositorios que contienen una lista de certificados revocados. Cuando un cliente se conecta a un servidor mediante SSL, el servidor envía su certificado digital al cliente.
A continuación, el cliente comprueba el estado de revocación del certificado descargando la CRL del repositorio del emisor del certificado y comparando el número de serie del certificado con la lista de certificados revocados. Si el certificado está en la CRL, el cliente rechazará el certificado y terminará el handshake.
El grapado OCSP, por su parte, es un mecanismo que permite al servidor proporcionar una respuesta OCSP (Online Certificate Status Protocol) firmada y con sello de fecha y hora junto con su certificado digital durante la solicitud de estado del certificado.
Dado que ya contiene el estado de revocación del certificado, el cliente sólo tiene que comprobar el respondedor OCSP proporcionado directamente por el servidor en lugar de descargar la CRL y comprobar el estado del certificado con la lista de certificados revocados.
¿Por qué es importante el grapado OCSP?
Cuando accede a un sitio web HTTPS, su navegador comprueba el estado de su certificado digital. Para confirmar que su certificado sigue siendo válido, el navegador utiliza OCSP para ponerse en contacto con su emisor, es decir, la Autoridad de Certificación. Dado que la CA es la única entidad que posee información crucial sobre el certificado SSL, debe responder a un gran número de solicitudes OCSP en tiempo real, especialmente de sitios web con mucho tráfico.
Desde el punto de vista económico, se trata de una práctica costosa para la CA, pero los usuarios finales también se ven afectados, ya que las respuestas OCSP múltiples ralentizan la velocidad de carga. Con OCSP simple, los navegadores tienen que preguntar sobre el certificado al servidor web y a la Autoridad de Certificación. El grapado OCSP simplifica todo el proceso.
Cómo funciona el grapado OCSP
Como ya sabe, cuando un navegador se conecta a un sitio web seguro, debe ponerse en contacto con los servidores OCSP de la autoridad de certificación para comprobar la validez del certificado SSL. Este proceso puede retrasar el tiempo de carga de la página, ya que el navegador tiene que esperar a que el servidor OCSP responda.
El grapado OCSP mejora el protocolo OCSP al permitir que el servidor web, en lugar del navegador, consulte a la CA el estado del certificado SSL. Cuando el servidor web se pone en contacto con el proveedor de SSL, la CA envía una respuesta digital de alta seguridad con sello de tiempo. Ahora, cuando el servidor web se conecta a un navegador, vincula el sello de tiempo firmado con el certificado SSL, lo que agiliza la verificación. En lugar de llegar a la CA, el navegador verifica la marca de tiempo del servidor y, puesto que se trata de una CA fiable, confía en el certificado.
¿Cuáles son las ventajas del grapado OCSP?
El grapado OCSP ofrece varias ventajas, pero las principales son una mayor seguridad, un mejor rendimiento y un menor tráfico de red.
- Mayor seguridad. El grapado OCSP evita los ataques a la seguridad que pueden producirse debido a certificados revocados. La respuesta engrapada garantiza que el cliente dispone del estado de revocación de certificados más actualizado, lo que reduce el riesgo de ataques de intermediario y otras vulnerabilidades basadas en certificados.
- Rendimiento mejorado. El grapado OCSP mejora el rendimiento al reducir la latencia asociada a las comprobaciones de revocación de certificados. En lugar de que el cliente tenga que consultar directamente al servidor OCSP de la CA, el servidor puede proporcionar una respuesta engrapada en el protocolo de enlace SSL, lo que reduce las idas y vueltas y acelera el establecimiento de la conexión.
- Menor tráfico de red. Al eliminar la necesidad de contactar directamente con el servidor OCSP de la CA, el grapado OCSP puede reducir significativamente el tráfico de red y la carga del servidor. Esto puede ayudar a mejorar la escalabilidad y fiabilidad del sitio web, sobre todo en periodos de mucho tráfico.
¿Cuáles son las limitaciones del grapado OCSP?
Aunque el grapado OCSP ofrece varias ventajas, tiene limitaciones e inconvenientes potenciales. He aquí algunas de ellas:
- Posibles riesgos de seguridad. El grapado OCSP implica el envío de información sensible en texto claro a través de la red, lo que puede crear riesgos potenciales de seguridad. Por ejemplo, un atacante puede ser capaz de interceptar y modificar la respuesta engrapada, dando lugar a una falsa sensación de seguridad para el cliente.
- Dependencia de la autoridad de certificación. El grapado OCSP requiere que el servidor web obtenga la respuesta grapada del servidor OCSP de la autoridad de certificación. Si el servidor OCSP de la CA no funciona o tiene problemas, el servidor web no proporcionará una respuesta engrapada válida.
- Problemas de caché. Las respuestas de grapado OCSP son almacenadas en caché por clientes y servidores, lo que puede crear problemas si la caché no se actualiza regularmente. Si se revoca un certificado después de que se haya almacenado en caché la respuesta de grapado, el cliente puede seguir confiando en el certificado hasta que se actualice la caché.
¿Qué navegadores soportan el grapado OCSP?
La mayoría de los navegadores web modernos, como Chrome, Firefox, Safari y Microsoft Edge, admiten el grapado OCSP. Sin embargo, es posible que algunos navegadores más antiguos o menos utilizados no lo admitan, o que el nivel de compatibilidad varíe en función de la versión y la configuración específicas.
¿Cómo verificar si su servidor tiene activado el grapado OCSP?
Puede utilizar una herramienta en línea o una utilidad de línea de comandos como OpenSSL para comprobar si el servidor ha activado el grapado OCSP de forma predeterminada. Los pasos exactos para hacerlo dependerán del tipo de servidor que estés utilizando. En la siguiente sección, proporcionamos instrucciones sobre cómo comprobar el estado del grapado OCSP y activarlo en Windows, Apache y Nginix.
¿Cómo activar el grapado OCSP?
A continuación, le ofrecemos instrucciones para activar el grapado OCSP en los siempre populares servidores Windows, Apache y Nginx.
Activar el grapado OCSP en Windows
El grapado OCSP está activado por defecto en Windows Server 2008 y versiones posteriores. Si está ejecutando una versión anterior de Windows Server, no es posible activar el grapado OCSP. Por favor, actualice a Windows 2008 o posterior.
Activar el grapado OCSP en Apache
Apache soporta el grapado OCSP a partir de Apache HTTPD Web Server 2.3.3+. Si no sabes qué versión estás ejecutando, utiliza los siguientes comandos:
apache2 -v
httpd -v
A continuación, compruebe si OCSP está activado. Siga los pasos que se indican a continuación:
- En OpenSSL, introduzca el siguiente comando:
openssl.exe s_client -connect [yourdomain .com]:443 -status
Si OCSP está activado, recibirá la siguiente respuesta en la sección Datos de respuesta OCSP: “Estado de la respuesta OCSP: correcto (0x0)”. Si OCSP no está activado, no verá ningún dato de respuesta OCSP. En este caso, asegúrese de que su certificado intermedio está instalado correctamente. - Compruebe si su servidor Apache se ha conectado correctamente al servidor OCSP. Ejecute el siguiente comando:
curl ocsp.digicert.com/ping.html - Para activar el grapado OCSP, debe editar el archivo de configuración del host virtual para su sitio (sudominio.com-ssl.conf) utilizando el editor de su elección. El archivo de configuración suele estar en el siguiente directorio: etc/apache2/sites-available/your-domain.com-ssl.conf
- Open the file and make the following changes:
- Añada las siguientes líneas dentro de las etiquetas <VirtualHost>:
SSLUseStapling activado
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors desactivado - Añada una línea dentro de las etiquetas que apunte a un archivo de cadena de certificados de confianza. Debe contener los certificados intermedio y raíz en orden:
SSLCACertificateFile /etc/apache2/ssl/full_chain.pem - Añada la siguiente línea fuera de las etiquetas <VirtualHost>:
SSLStaplingCache shmcb:/var/run/ocsp(128000)
- Añada las siguientes líneas dentro de las etiquetas <VirtualHost>:
- Pruebe su configuración:
apachectl -t - Reinicie el servidor Apache
apachectl restart
Activar el grapado OCSP en NGINX
El grapado OCSP está disponible en NGINX 13,7 o posterior. Compruebe la versión de su servidor web NGINX:
nginx-v
Utilice las siguientes líneas de comando de grapado OCSP de OpenSSL:
- Compruebe si el grapado OCSP está activado. En OpenSSL, ejecute el siguiente comando:
openssl s_client -connect [yourdomain .com]:443 -status - Si OCSP está activado, la sección OCSP Response Data debería decir: Estado de la respuesta OCSP: correcto (0x0)
- Si no está activada, no verá ningún dato de respuesta OCSP. Si no recibe confirmación de que OCSP está activado, utilice esta guía de solución de problemas.
- Para habilitar el grapado OCSP, primero, edite el archivo de configuración de bloques de servidor para su sitio (o nginx.conf si no se utilizan bloques de servidor):
nano /etc/nginx/sites-enabled/mi-dominio.com-ssl.conf
o
nano /etc/nginx/nginx.conf
Nota: Si necesita activar el grapado OCSP sólo en un bloque de servidores, debe ser el “default_server”. Si necesita habilitarlo en varios bloques de servidores, debe habilitarlo primero en el ‘default_server’. A continuación, se puede activar en cualquier otro bloque de servidores. - Active el grapado OCSP y permita que el servidor compruebe el grapado OCSP añadiendo dos líneas dentro del bloque del servidor:
ssl_stapling on;
ssl_stapling_verify on; - Indique un archivo de cadena de certificados de confianza que contenga los certificados intermedio y raíz en orden:
ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem - Comprueba tu configuración:
sudo service nginx configtest - Reinicie NGINX:
sudo service nginx reload
Conclusión
El grapado OCSP es otra útil adición a la creciente lista de extensiones SSL/TLS. A medida que evoluciona la web, también lo hace la tecnología de gestión de certificados. Al incluir una respuesta firmada digitalmente en el apretón de manos inicial, el servidor evita la necesidad de que los clientes consulten al respondedor OCSP de la CA, lo que reduce la latencia y los posibles problemas de privacidad.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10