¿Qué es una Lista de Revocación de Certificados? Explicación de la CRL

Lista de revocación de certificados

Los certificados digitales constituyen la columna vertebral de las interacciones seguras en línea ya que verifican las identidades y garantizan la comunicación cifrada. Sin embargo, cuando estos certificados se ven comprometidos o se utilizan indebidamente, deben revocarse rápidamente para mantener la confianza. Aquí es donde entran en juego las Listas de Revocación de Certificados (CRL). Mantenidas por las Autoridades de Certificación (AC), las CRL son esenciales para identificar e invalidar los certificados revocados antes de que puedan causar daños.

En esta guía exploraremos qué son las CRL, cómo funcionan y por qué son fundamentales para la seguridad web.


Índice

  1. ¿Qué es una Lista de Revocación de Certificados (CRL)?
  2. ¿Cómo funcionan las CRL?
  3. ¿Por qué se revocan los certificados?
  4. CRLs vs. Alternativas: OCSP y Registros de Transparencia de Certificados

Consigue certificados SSL hoy mismo

¿Qué es una Lista de Revocación de Certificados (CRL)?

Una Lista de Revocación de Certificados (CRL) es un archivo firmado digitalmente creado por las Autoridades de Certificación (CA) que enumera los certificados digitales revocados. Estos certificados se revocan antes de su fecha de caducidad programada debido a razones como fallos de seguridad, compromiso de claves o cambios administrativos. Las CRL son fundamentales en la Infraestructura de Clave Pública (PKI) para garantizar una comunicación segura evitando el uso de certificados comprometidos.

Definida según la norma X.509 y la RFC 5280, una CRL contiene detalles críticos como los números de serie de los certificados no válidos, las marcas de tiempo de revocación, la fecha de revocación y, en algunos casos, las razones específicas de la revocación. Este mecanismo garantiza que los certificados revocados se marquen durante el proceso de autenticación.


¿Cómo funcionan las CRL?

Las Listas de Revocación de Certificados funcionan como un sistema de verificación de confianza dentro de la Infraestructura de Clave Pública (PKI). Cuando se revoca un certificado digital, sus detalles se añaden a la CRL mantenida por la Autoridad de Certificación (CA) emisora. Esta lista se actualiza periódicamente y se distribuye a través de Puntos de Distribución de CRL (CDP) especificados, a los que se puede acceder mediante URL incrustadas en el certificado.

El proceso CRL

Cuando un navegador web o una aplicación encuentra un certificado, recupera la CRL asociada del CDP. La lista recuperada se escanea en busca del número de serie del certificado para comprobar el estado de revocación del mismo. Si se encuentra una coincidencia, el certificado se marca como revocado, y se advierte al usuario del riesgo potencial, evitando la aceptación indebida del certificado. Este proceso ayuda a bloquear las conexiones inseguras antes de que se produzcan.

Las CRL suelen estar firmadas por la CA emisora para garantizar su autenticidad y evitar manipulaciones. Incluyen una marca de tiempo y detalles sobre la próxima actualización programada. Las actualizaciones frecuentes son necesarias para mantener la fiabilidad, pero pueden plantear problemas de rendimiento, sobre todo en el caso de CRL de gran tamaño.

Desafíos en la funcionalidad CRL

Las CRL no carecen de limitaciones. Su dependencia de las actualizaciones periódicas crea una ventana de latencia durante la cual un certificado revocado podría seguir siendo aceptado. Además, el tamaño de las CRL puede afectar a la eficacia; las listas más grandes requieren más recursos para ser analizadas, lo que provoca respuestas más lentas, sobre todo en dispositivos con una capacidad de procesamiento limitada. Almacenar las CRL localmente mitiga algunos retrasos, pero introduce riesgos adicionales si se omiten las actualizaciones.


¿Por qué se revocan los certificados?

Los certificados digitales se revocan cuando su integridad o validez se ven comprometidas, lo que garantiza que no puedan utilizarse indebidamente para vulnerar sistemas seguros. Esta medida proactiva de las Autoridades de Certificación (AC) impide que los actores maliciosos se aprovechen de los certificados revocados para eludir los protocolos de seguridad o engañar a los usuarios.

Los certificados pueden ser revocados por varias razones, entre ellas:

  1. Compromiso de la clave: Si la clave privada asociada a un certificado está expuesta o se sospecha que está comprometida, es necesaria la revocación para mitigar el acceso no autorizado.
  2. Compromiso de la CA: Cuando se vulnera la seguridad de la CA emisora, todos los certificados emitidos por ella pueden perder fiabilidad.
  3. Certificados mal emitidos: Los errores durante la emisión, como la validación incorrecta del dominio, hacen necesaria su revocación y reemisión.
  4. Cambios de titularidad: Las transiciones en la propiedad de los dominios o en la afiliación organizativa a menudo requieren que se revoquen y sustituyan los certificados.
  5. Cese de Operaciones: Cuando el titular de un certificado cesa su actividad o deja de controlar el dominio, la revocación garantiza que el certificado no se utilice indebidamente.
Ahorra un 10% en Certificados SSL

Los certificados comprometidos plantean riesgos importantes para la ciberseguridad. Un certificado revocado que no se señale a tiempo puede facilitar ataques de intermediariorobo de identidad, violación de datos y distribución de malware. Por ejemplo, las revocaciones a gran escala por parte de CA como Apple y Google subrayan la importancia de abordar las vulnerabilidades con rapidez.


CRLs vs. Alternativas: OCSP y Registros de Transparencia de Certificados

Aunque las Listas de Revocación de Certificados se utilizan mucho para gestionar los certificados revocados, no son el único método. Existen alternativas como el Protocolo de Estado de los Certificados en Línea (OCSP) y Registros de Transparencia de Certificados (CT) ofrecen enfoques distintos para abordar los problemas de confianza en los certificados.

CRLs vs. OCSP

  • Las CRL se basan en listas actualizadas periódicamente que los navegadores o las aplicaciones descargan y analizan. Aunque eficaz, este enfoque fuera de línea puede introducir retrasos, especialmente en el caso de listas grandes.
  • OCSP proporciona validación en tiempo real al permitir que los navegadores consulten directamente a la CA sobre el estado de un certificado concreto. En lugar de descargar una lista completa, el navegador recibe una simple respuesta: “bueno”, “revocado” o “desconocido”.
  • Engrapado OCSP, una mejora, desplaza la carga del cliente al servidor. El servidor almacena en caché la respuesta OCSP y la “grapa” al certificado durante el apretón de manos TLS, mejorando el rendimiento y la privacidad.

CRLs vs. Registros CT

  • Las CRL se centran exclusivamente en los certificados revocados y no abordan los certificados caducados, lo que garantiza que no se pueda confiar en las credenciales comprometidas.
  • En cambio, los Registros de Transparencia de Certificados registran todos los certificados emitidos. Estos registros de sólo apéndice mejoran la transparencia al exponer los certificados mal emitidos o falsos, pero no abordan el estado de revocación.

Elegir el enfoque adecuado

Las CRL siguen siendo eficaces para la gestión por lotes de los certificados revocados, pero pueden tener problemas con la escalabilidad y los requisitos de tiempo real. La comprobación de la revocación de certificados mediante OCSP y su variante de grapado ofrece comprobaciones más rápidas y dinámicas, solucionando algunas de las limitaciones de las CRL. Mientras tanto, los Registros CT sirven como herramienta complementaria, garantizando la supervisión de la emisión de certificados, pero no su revocación.

Para una seguridad integral, las organizaciones suelen combinar estos métodos. Las CRL son ideales para entornos que requieren actualizaciones masivas, mientras que OCSP proporciona comprobaciones de estado instantáneas. Los registros CT añaden una capa adicional de transparencia, garantizando la confianza en todos los ecosistemas digitales.


Mantén seguro tu sitio web con soluciones de confianza

Las Listas de Revocación de Certificados desempeñan un papel esencial en la salvaguarda de las comunicaciones digitales, al garantizar que los certificados revocados no puedan utilizarse para comprometer la seguridad.

Para proteger tu sitio web con certificados SSL de confianza de Autoridades de Certificación acreditadas, recurre a SSL Dragon. Explora nuestra amplia gama de certificados SSL y deja que te ayudemos a garantizar una presencia digital segura y de confianza.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

A detailed image of a dragon in flight
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.