CRL

VALIDACIÓ DE CERTIFICATS DIGITALS FORA DE LÍNIA

Quan un Prestador de Serveis de Confiança (PSC) expedeix un certificat digital, ho fa amb un període màxim de validesa que oscil·la normalment entre tres i cinc anys. Aquest període de caducitat s’indica dins el propi certificat i obliga a la seua renovació després del seu venciment. D’aquesta manera s’aconsegueix adaptar-lo als canvis tecnològics i disminuir el risc que per ells el certificat quede compromés.

Ara bé, abans de la data de caducitat d’un certificat, pot ocórrer que el perdem, que no estiguem segurs de si s’ha pogut veure compromés el seu ús, o que les dades que conté deixen de ser vàlides. Situacions en les quals necessitarem que el certificat deixe immediatament d’estar vigent, és a dir, de ser vàlid i poder usar-se.

La forma que tenim d’aconseguir invalidar un certificat digital abans de la seua caducitat és sol·licitar-ho al seu emissor, qui revocarà el certificat per a anul·lar-lo de manera irreversible.

Les llistes de revocació de certificats o Certificate Revocation List (CRL) són una successió de números de sèrie de certificats revocats. Un mecanisme que tenen els PSC per a donar solució a la necessitat que un certificat deixe de ser vàlid abans de la seua caducitat.

El seu funcionament és molt senzill. Davant una sol·licitud de revocació, el PSC inclou el número de sèrie d’aquest certificat que ell ha emés dins la CRL corresponent. Les diferents CRL són públiques i poden ser consultades per qualsevol. Així estan a la disposició de totes aquelles aplicacions que empren certificats per a ser consultades.

Una aplicació que treballe amb certificats sempre haurà de consultar la validesa del certificat amb el qual vaja a operar abans d’acceptar-lo. És a dir, l’aplicació, després de verificar que el certificat no està caducat, verificarà que el certificat no està revocat. Tot de manera transparent per a l’usuari.

La consulta de la CRL de l’emissor del certificat és un dels mecanismes que tenen les aplicacions per a verificar si un certificat està o no revocat. Per a realitzar la seua consulta, l’aplicació haurà de descarregar el fitxer complet de la CRL corresponent, per a després buscar si el número de sèrie del certificat que vol validar figura o no en el llistat:

  • Si figura, el certificat ha sigut revocat en la data que apareix en el propi llistat.
  • En cas contrari, el certificat continua vigent.

El mecanisme de CRL es va pensar originàriament per a la seua consulta offline. Cada CRL té també una vigència, i una freqüència de publicació (menor a eixa vigència). Per exemple, podem trobar CRL amb una vigència de 24 hores, però una freqüència de publicació de 3 hores. Això significaria que l’aplicació pot descarregar-se la CRL i usar-la fins a esgotar la seua caducitat. Encara que cada 3 hores hi haurà una nova CRL que incloga els certificats que eixe emissor ha revocat en eixe temps.

Es tracta d’un mètode menys immediat i de major cost computacional, i de vegades d’amplada de banda, que l’ús d’un altre mecanisme de consulta d’estat denominat OCSP.

La norma és que els PSC suporten tots dos mètodes de validació, CRL i OCSP. I les aplicacions empren un, un altre o tots dos segons conveniència i requeriments.

val