CRL

VALIDACIÓN DE CERTIFICADOS DIGITALS FUERA DE LÍNEA

Cuando un Prestador de Servicios de Confianza (PSC) expide un certificado digital, lo hace con un periodo máximo de validez que oscila normalmente entre tres y cinco años. Este periodo de caducidad se indica en el propio certificado y obliga a su renovación tras su vencimiento. De ese modo se consigue adaptarlo a los cambios tecnológicos y disminuir el riesgo de que por ellos el certificado quede comprometido.

Ahora bien, antes de la fecha de caducidad de un certificado, pueden ocurrir que lo perdamos, que no estemos seguros de si se ha podido ver comprometido su uso, o que los datos que contiene dejen de ser válidos. Situaciones en las que vamos a necesitar que el certificado deje inmediatamente de estar vigente, es decir, de ser válido y poder usarse.

La forma que tenemos de lograr invalidar un certificado digital antes de su caducidad es solicitarlo a su emisor, quien revocará el certificado para anularlo de manera irreversible.

Las listas de revocación de certificados o Certificate Revocation List (CRL) son una sucesión de números de serie de certificados revocados. Un mecanismo que tienen los PSC para dar solución a la necesidad de que un certificado deje de ser válido antes de su caducidad.

Su funcionamiento es muy sencillo. Ante una solicitud de revocación, el PSC incluye el número de serie de dicho certificado que él ha emitido en la CRL correspondiente. Las diferentes CRL son públicas y pueden ser consultadas por cualquiera. Así están a disposición de todas aquellas aplicaciones que empleen certificados para ser consultadas.

Una aplicación que trabaje con certificados siempre deberá consultar la validez del certificado con el que vaya a operar antes de aceptarlo. Es decir, la aplicación, después de verificar que el certificado no está caducado, verificará que el certificado no está revocado. Todo de forma transparente para el usuario.

La  consulta de la CRL del emisor del certificado es uno de los mecanismos que tienen las aplicaciones para verificar si un certificado está o no revocado. Para realizar su consulta, la aplicación deberá descargar el fichero completo de la CRL correspondiente, para después buscar si el número de serie del certificado que quiere validar figura o no en el listado:

  • Si figura, el certificado ha sido revocado en la fecha que aparece en el propio listado.
  • En caso contrario, el certificado sigue vigente.

El mecanismo de CRL se pensó originariamente para su consulta offline. Cada CRL tiene también una vigencia, y una frecuencia de publicación (menor a esa vigencia). Por ejemplo, podemos encontrar CRL con una vigencia de 24 horas, pero una frecuencia de publicación de 3 horas. Esto significaría que la aplicación puede descargarse la CRL y usarla hasta agotar su caducidad. Aunque cada 3 horas habrá una nueva CRL que incluya los certificados que ese emisor ha revocado en ese tiempo.

Se trata de un método menos inmediato y de mayor coste computacional, y en ocasiones de ancho de banda, que el uso de otro mecanismo de consulta de estado denominado OCSP.

La norma es que los PSC soporten ambos métodos de validación, CRL y OCSP. Y las aplicaciones empleen uno, otro o ambos según conveniencia y requerimientos.