¿Qué es el grapado OCSP y cómo utilizarlo?

Última actualización por Dionisie Gitlan
Grapado OCSP

Cuando se trata de seguridad en línea, el grapado OCSP es una tecnología crucial que mejora tanto la velocidad como la privacidad de las conexiones SSL/TLS. Al aprovecharla, los sitios web pueden entregar la información del certificado de forma más eficiente, mejorando tanto el rendimiento del sitio web como la experiencia del usuario.

En este artículo, exploraremos qué es el grapado OCSP, sus ventajas, cómo funciona y por qué se ha convertido en una parte esencial de la optimización SSL.

Índice

  1. ¿Qué es el grapado OCSP?
  2. ¿Por qué se desarrolló el grapado OCSP?
  3. ¿Cómo funciona el grapado OCSP?
  4. Principales ventajas del grapado OCSP
  5. Diferencia entre OCSP y grapado OCSP
  6. Alternativas al grapado OCSP: El grapado obligatorio OCSP
  7. Contras del grapado OCSP
  8. ¿Cómo activar el grapado OCSP?
Consigue certificados SSL hoy mismo

¿Qué es el grapado OCSP?

El grapado OCSP es una función avanzada de protocolos SSL/TLS que permite a un servidor web entregar una respuesta OCSP (Online Certificate Status Protocol) directamente a los clientes, como los navegadores web, durante el intercambio SSL. Tradicionalmente, los clientes web consultaban a la Autoridad de Certificación (AC) directamente para verificar el estado del certificado SSL de un sitio. Sin embargo, el grapado OCSP cambia este proceso al permitir que el servidor “grape” una respuesta OCSP reciente en su protocolo SSL, eliminando la necesidad de que el cliente interactúe con la CA.

El propio protocolo OCSP está diseñado para garantizar que los certificados SSL siguen siendo válidos y no han sido revocados, proporcionando actualizaciones de estado a través de un respondedor OCSP. Actúa como una alternativa a la tradicional lista de revocación de certificados para comprobar la validez. Al activar el grapado OCSP, los propietarios de sitios web ayudan a minimizar la necesidad de solicitudes externas, ofreciendo un proceso de verificación SSL más rápido y privado.

¿Por qué se desarrolló el grapado OCSP?

El grapado OCSP se introdujo para resolver varios problemas de las comprobaciones OCSP tradicionales, principalmente problemas de latencia y privacidad, e identificar los certificados revocados de forma eficiente.

Con el enfoque OCSP tradicional, cada vez que un cliente (como un navegador web) necesitaba verificar un certificado SSL, tenía que enviar consultas OCSP a la Autoridad de Certificación para confirmar la validez del certificado. Esta consulta directa suele provocar tiempos de carga más lentos, ya que el navegador debe esperar una respuesta de un servidor externo. Además, las peticiones OCSP directas exponen la actividad del cliente a la CA, creando un riesgo para la privacidad.

El grapado OCSP se desarrolló para resolver estos problemas permitiendo que el propio servidor web obtenga y almacene en caché una respuesta OCSP. De esta forma, el servidor puede entregar una respuesta OCSP válida directamente a los clientes sin necesidad de pasos de verificación separados, reduciendo la latencia y protegiendo la privacidad del cliente.

¿Cómo funciona el grapado OCSP?

El proceso es sencillo pero eficaz. Aquí tienes una explicación paso a paso:

  1. Solicitud del servidor: El servidor web solicita periódicamente una respuesta OCSP a la Autoridad de Certificación. Esta respuesta indica el estado de revocación del certificado y confirma su validez.
  2. Almacenamiento en caché de la respuesta: El servidor almacena en caché esta respuesta OCSP, lo que permite utilizarla varias veces en un plazo determinado (normalmente 24 horas). Esta respuesta almacenada en caché es la que el servidor proporcionará posteriormente a los clientes que se conecten.
  3. Grapar la respuesta: Cuando un cliente intenta establecer una conexión SSL, el servidor incluye la respuesta OCSP en caché como parte del handshake SSL. Esta respuesta engrapada confirma al cliente que el certificado SSL sigue siendo válido, sin requerir una solicitud adicional a la CA.
  4. Verificación del cliente: El cliente (por ejemplo, un navegador web) verifica la respuesta OCSP engrapada durante el apretón de manos SSL. Si la respuesta es válida y reciente, el cliente completa la conexión sin necesidad de comprobarlo directamente con la CA.

Al engrapar la respuesta OCSP, el servidor puede reducir la latencia y mejorar la velocidad de enlace SSL, haciendo que la conexión sea más rápida y segura.

Principales ventajas del grapado OCSP

Su implantación ofrece varias ventajas para el rendimiento del sitio web y la privacidad del usuario:

  • Reducción de la velocidad y la latencia: Al proporcionar directamente la respuesta OCSP, el servidor elimina la necesidad de realizar una solicitud independiente a la CA, lo que reduce la latencia y acelera los apretones de manos SSL.
  • Mayor privacidad del usuario: Las solicitudes OCSP directas permiten a las Autoridades de Certificación ver qué clientes visitan un sitio concreto. Al utilizar el grapado OCSP, esta información ya no se comparte, lo que protege la privacidad del usuario.
  • Carga reducida sobre las Autoridades de Certificación (CA): Minimiza el volumen de solicitudes que deben gestionar las CA, mejorando la fiabilidad y capacidad de respuesta de los sistemas de CA.

Estas ventajas lo convierten en una potente herramienta para mejorar las conexiones SSL, por lo que es una opción cada vez más popular entre los propietarios y administradores de sitios web.

Diferencia entre OCSP y grapado OCSP

Entender la distinción entre OCSP tradicional y grapado OCSP es esencial para comprender por qué se prefiere en las implementaciones SSL modernas.

En una configuración OCSP tradicional, el cliente consulta directamente a la CA para verificar el estado del certificado. Aunque eficaz, este proceso puede provocar tiempos de carga más lentos, ya que cada consulta introduce una nueva petición externa. Además, el OCSP tradicional expone la dirección IP del cliente a la CA, lo que puede plantear problemas de privacidad.

Sin embargo, con el grapado OCSP, el servidor gestiona esta solicitud de respuesta OCSP en nombre del cliente. Recupera y almacena en caché el estado del certificado digital directamente de la CA, lo que le permite “grapar” esta respuesta al handshake SSL. De esta forma, el cliente obtiene la verificación del certificado sin la solicitud adicional, lo que resulta en una verificación SSL más rápida y privada.

Alternativas al grapado OCSP: El grapado obligatorio OCSP

Para los sitios web que necesitan una capa adicional de seguridad SSL, OCSP Must-Staple es una alternativa convincente. Esta función requiere que el servidor incluya siempre una respuesta OCSP válida durante el intercambio SSL. OCSP Must-Staple añade una directiva de seguridad al propio certificado SSL, indicando a los navegadores que rechacen el certificado si el servidor no proporciona una respuesta OCSP engrapada.

Ventajas clave de OCSP Must-Staple

  • Garantiza la validación de certificados recientes: A diferencia del grapado OCSP estándar, que puede proporcionar una respuesta OCSP obsoleta, el grapado OCSP Must-Staple exige que la respuesta sea válida y reciente. Esto garantiza mayores niveles de confianza en el estado del certificado.
  • Aumenta los Estándares de Seguridad: Al imponer el grapado OCSP como obligatorio, OCSP Must-Staple reduce el riesgo de que un certificado no válido pase desapercibido para los clientes, lo que lo hace ideal para los sitios que priorizan los estándares de alta seguridad.

Aunque el grapado obligatorio OCSP ofrece mayor seguridad, puede no ser adecuado para todos los sitios. Por ejemplo, los sitios web más pequeños o sin necesidades de alta seguridad pueden encontrar suficiente la configuración estándar de grapado OCSP.

Ahorra un 10% en Certificados SSL

Contras del grapado OCSP

Aunque el grapado OCSP ofrece notables ventajas, también es esencial tener en cuenta los posibles inconvenientes y limitaciones.

  • Dependencia del servidor: Dado que la respuesta OCSP la proporciona el servidor, éste es responsable de actualizar regularmente y almacenar en caché las respuestas válidas. Si la respuesta OCSP se vuelve obsoleta o inválida, podría afectar a los handshakes SSL.
  • Problemas de compatibilidad: Es posible que algunos clientes antiguos no sean totalmente compatibles con el grapado OCSP, lo que puede dar lugar a problemas de compatibilidad. Sin embargo, la mayoría de los navegadores y dispositivos modernos pueden manejar respuestas OCSP engrapadas.
  • Punto Único de Fallo: Si el mecanismo de grapado OCSP tiene problemas, podría impedir a los clientes confirmar el estado del certificado SSL, interrumpiendo potencialmente el acceso de los usuarios.

¿Cómo activar el grapado OCSP?

A continuación, le ofrecemos instrucciones para activar el grapado OCSP en los siempre populares servidores Windows, Apache y Nginx.

Activar el grapado OCSP en Windows

El grapado OCSP está activado por defecto en Windows Server 2008 y versiones posteriores. Si estás ejecutando una versión anterior de Windows Server, no es posible activarla. Por favor, actualice a Windows 2008 o posterior.

Activar el grapado OCSP en Apache

Apache soporta el grapado OCSP a partir de Apache HTTPD Web Server 2.3.3+. Si no sabes qué versión estás ejecutando, utiliza los siguientes comandos:

apache2 -v
httpd -v

A continuación, compruebe si OCSP está activado. Siga los pasos que se indican a continuación:

  1. En OpenSSL, introduzca el siguiente comando:

    openssl.exe s_client -connect [yourdomain .com]:443 -status

    Si OCSP está activado, recibirá la siguiente respuesta en la sección Datos de respuesta OCSP: “Estado de la respuesta OCSP: correcto (0x0)”. Si OCSP no está activado, no verá ningún dato de respuesta OCSP. En este caso, asegúrate de que tu certificado intermedio está instalado correctamente.
  2. Compruebe si su servidor Apache se ha conectado correctamente al servidor OCSP. Ejecute el siguiente comando:

    curl ocsp.digicert.com/ping.html
  3. Para activar el grapado OCSP, debe editar el archivo de configuración del host virtual para su sitio (sudominio.com-ssl.conf) utilizando el editor de su elección. El archivo de configuración suele estar en el siguiente directorio: etc/apache2/sites-available/your-domain.com-ssl.conf
  4. Abra el archivo y realice los siguientes cambios:
    • Añade las siguientes líneas dentro de las etiquetas <VirtualHost>:

      SSLUseStapling activado
      SSLStaplingResponderTimeout 5
      SSLStaplingReturnResponderErrors desactivado
    • Añada una línea dentro de las etiquetas que apunte a un archivo de cadena de certificados de confianza. Debe contener los certificados intermedio y raíz en orden:

      SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
    • Añade la siguiente línea fuera de las etiquetas <VirtualHost>:

      SSLStaplingCache shmcb:/var/run/ocsp(128000)
  5. Prueba tu configuración:

    apachectl -t
  6. Reinicia el servidor Apache

    apachectl restart

Activar el grapado OCSP en NGINX

Está disponible en NGINX 13,7 o posterior. Compruebe la versión de su servidor web NGINX:
nginx-v

Utiliza las siguientes líneas de comando OpenSSL:

  1. Comprueba si está activado. En OpenSSL, ejecute el siguiente comando:

    openssl s_client -connect [yourdomain .com]:443 -status
  2. Si OCSP está activado, la sección OCSP Response Data debería decir: Estado de la respuesta OCSP: correcto (0x0)
  3. Si no está activada, no verá ningún dato de respuesta OCSP. Si no recibe confirmación de que OCSP está activado, utilice esta guía de solución de problemas.
  4. Para activarlo, primero, edita el archivo de configuración de bloques de servidor de tu sitio (o nginx.conf si no se utilizan bloques de servidor):

    nano /etc/nginx/sites-enabled/mi-dominio.com-ssl.conf

    o

    nano /etc/nginx/nginx.conf

    Nota: Si necesitas activarlo sólo en un bloque de servidores, debe ser el “servidor_por_defecto”. Si necesita habilitarlo en varios bloques de servidores, debe habilitarlo primero en el ‘default_server’. A continuación, se puede activar en cualquier otro bloque de servidores.
  5. Activa el grapado OCSP y permite que el servidor compruebe el grapado OCSP añadiendo dos líneas dentro del bloque del servidor:

    ssl_staplingon;
    ssl_stapling_verifyon;
  6. Indica un archivo de cadena de certificados de confianza que contenga los certificados intermedio y raíz en orden:

    ssl_trusted_certificate/etc/nginx/ssl/full_chain.pem
  7. Comprueba tu configuración:

    sudo service nginx configtest
  8. Reinicia NGINX:

    sudo service nginx reload

Conclusión

En SSL Dragon, nos dedicamos a ayudarte a navegar por las complejidades de la seguridad SSL/TLS para ofrecer la mejor experiencia de navegación posible a tus usuarios. El Engrapado OCSP es una potente herramienta para aumentar tanto la velocidad como la privacidad en las conexiones SSL, por lo que es una función esencial para los sitios web modernos.

Ofrecemos una amplia selección de certificados SSL compatibles con OCSP Stapling, que garantizan que tu sitio cumpla los más altos estándares de velocidad y seguridad. Empieza a optimizar tu configuración SSL hoy mismo y verás la diferencia en conexiones más rápidas y seguras.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

Pedir ahora
Una imagen detallada de un dragón en vuelo
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Entradas relacionadas
Comprobar un certificado SSL en Linux con OpenSSL
Cómo comprobar un certificado SSL en Linux con OpenSSL
Qué es OpenSSL
¿Qué es OpenSSL? ¿Cómo funciona OpenSSL?
Qué es el puerto 443
Qué es el puerto 443 y cómo utilizarlo
Secreto perfecto
¿Qué es el secreto perfecto en ciberseguridad?
Puerto SSL
¿Qué es un puerto SSL? La guía completa