Inicio

Certificacion Electronica - Consulta en Linea de Estado de Certificados (OCSP)

Publicado por Paola Castellanos el 24 de Mayo de 2014 a las 20:53

El OCSP (Online Certificate Status Protocol), sirve para solventar ciertas deficiencias de las CRL (Listas de Revocación de Certificados), los mensajes OCSP se codifican en ASN.1 y habitualmente se transmiten sobre el protocolo HTTP. La naturaleza de las peticiones y respuestas de OCSP hace que a los servidores OCSP se les conozca como "OCSP responders".

Es un protocolo de Internet usado para obtener el estado de un certificado en linea, permite determinar si el certificado se encuentra revocado o no.

Este protocolo se describe en el RFC 2560 y está en el registro de estándares de Internet.

Es preferible la validación de los certificados mediante OCSP sobre el uso de CRL por varias razones:

  • OCSP puede proporcionar una información más adecuada y reciente del estado de revocación de un certificado.
  • OCSP elimina la necesidad de que los clientes tengan que obtener y procesar las CRL, ahorrando de este modo tráfico de red y procesado por parte del cliente.
  • El contenido de las CRL puede considerarse información sensible, análogamente a la lista de morosos de un banco.
  • Un "OCSP responder" puede implementar mecanismos de tarificación para pasar el coste de la validación de las transacciones al vendedor, más bien que al cliente.
  • OCSP soporta el encadenamiento de confianza de las peticiones OCSP entre los "responders". Esto permite que los clientes se comuniquen con un "responder" de confianza para lanzar una petición a una autoridad de certificación alternativa dentro de la misma PKI.
  • Una consulta sobre el estado de un certificado sobre una CRL, debe recorrerla completa secuencialmente para decir si es válido o no. Un "OCSP responder" en el fondo, usa un motor de base de datos para consultar el estado del certificado solicitado, con todas las ventajas y estructura para facilitar las consultas. Esto se manifiesta aún más cuando el tamaño de la CRL es muy grande.

Comando para probar que esté funcionando el OCSP, mediante el uso de Open SSL

  • En Linux:

openssl ocsp -url http://ocsp.eci.bce.ec/ejbca/publicweb/status/ocsp -issuer /cacert.pem -serial 0x4d7fcba1 -CAfile /cacert.pem

  • En Windows:

Copiar en el mismo path donde se encuentra el ejecutable del programa, el certificado de la AC (Autoridad de Certificación), con el que se emitio el certificado

ocsp -url http://ocsp.eci.bce.ec/ejbca/publicweb/status/ocsp -issuer /cacert.pem -serial 0x4d7fcba1 -CAfile /cacert.pem

Donde:

ocsp -url = IpServerOCSP=IP o nombre del servidor OCSP/ =path

donde se encuetra y nombre archivo certificado con el que se firmo el certificado del usuario finalcacert.pem: Certificado de la CA que firmo el certificado Digital0x4d7fcba1 = Serial Number del certificado digital

NOMBRE: Paola Castellanos R.

FUENTE:  www.eci.bce.ec

                 www.wikipedia.org

Vistas: 310
Votos 0
Enviadme un correo electrónico cuando las personas hayan dejado sus comentarios –
Seguir

¡Tienes que ser miembro de Comunidad Todo Comercio Exterior Ecuador para agregar comentarios!

Join Comunidad Todo Comercio Exterior Ecuador

CONVIÉRTETE EN EXPERTO DE CLASIFICACIÓN ARANCELARIA

Clasificación Arancelaria

EL ABC DE LAS IMPORTACIONES Y EXPORTACIONES EN ECUADOR, Leyes y Reglamentos que debes conocer

Clasificación Arancelaria

Miembros de nuestra comunidad:

Videos:

Nuestros eventos:

Última publicación en el blog

Publicaciones de blog más populares

Temas del blog por etiquetas

Archivos mensuales