domingo, 12 de mayo de 2019

Entendiendo el papel de OCSP en la seguridad de la red


La necesidad del negocio

Entendiendo el papel de OCSP en la seguridad de la red: En el mundo actual del comercio electrónico, los certificados digitales brindan a las personas y empresas identidades confiables. Sin embargo, estos certificados digitales pueden revocarse, expirar o incluso pueden ser robados. Por lo tanto, para que las transacciones firmadas digitalmente se conviertan en una parte integral de la vida empresarial cotidiana, los usuarios deben tener la confianza de que las identidades digitales de terceros son completamente válidas y confiables para todas las transacciones que se realizan.
OCSP es uno de los programas más confiables destinados a mantener la seguridad de sus servidores y ciertos otros elementos en el flujo de la red. Anteriormente, la Lista de revocación de certificados (CRL) se utilizaba como herramienta de gestión de la seguridad, pero había sido reemplazada por los esquemas OCSP. Hoy en día, las empresas y los centros de datos prefieren emplear OCSP en lugar de CRL.
OCSP supera la limitación principal exhibida por el esquema de CRL. Se requerían actualizaciones y descargas frecuentes para mantener las listas al final del cliente. Ahora, cuando los usuarios solicitan acceso a cierta información en el servidor, envía una solicitud de información de certificación. Aquí, el servidor tiene que enviar de vuelta cualquiera de los comandos ‘actual’, ‘caducado’ o ‘desconocido’.
A los usuarios con certificados vencidos se les otorga un período de gracia, donde pueden acceder a una información en particular. Además de esto, el protocolo especifica el tipo de comunicación entre el servidor y la solicitud del cliente. Recuerde, el servidor contiene los estados de certificado y el cliente es el solicitante que necesita esa información de estado.

Elementos distintivos clave:

Si miramos a nuestro alrededor y buscamos algunos elementos clave o distinciones del protocolo, aquí hay algunos puntos.
  • Con OCSP, los recursos de red se utilizan de manera eficiente. Esto se debe a que las solicitudes y respuestas contienen menos información en comparación con la lista de revocación de certificados estándar.
  • Los clientes no necesitan analizar los certificados en sí mismos, lo que ahorra a los clientes muchas complicaciones y complejidades.
  • Aquí, el respondedor revela que un host de red dado está usando o ha usado el certificado dado en ese momento en particular.
  • La seguridad está garantizada pero OCSP no garantiza la comunicación encriptada. Otras partes pueden interceptar o acceder a la información.
Uno de los elementos más difíciles en el uso del Protocolo de estado de certificado en línea es la preocupación de privacidad de algunos usuarios. Como el protocolo requiere que los clientes consulten a un tercero para validar el certificado. Sin embargo, debe saber que su objetivo es solo verificar la validez del certificado sin revelar el comportamiento de navegación. En términos de seguridad, este proceso se llama ‘engrapado’.
OCSP Configure la política de validación para cada CA por separado y contiene claves y certificados de firma de OCSP. Los certificados de servidor OCSP se pueden emitir a través de la compilación en CA y se pueden renovar automáticamente. Puede extraer información de estado de los certificados de las entidades emisoras de certificados de diferentes maneras. OCSP responde por múltiples CA con políticas de validación configurables.
El protocolo de estado de certificado en línea es compatible con los siguientes navegadores de Internet (sus versiones compatibles se detallan a continuación).
  • Internet Explorer versión 7 (solo en Vista, no en XP)
  • Todas las versiones de Mozilla Firefox. Incluso las últimas versiones admiten la comprobación de OCSP por defecto.
  • Versiones 8.0, 8.4 y 8.5 de Opera.
  • Google Chrome es totalmente compatible con la verificación del protocolo de estado del certificado en línea.
OCSP proporciona una alta escalabilidad para cumplir con los requisitos de la infraestructura actual. Múltiples servidores con carga equilibrada pueden funcionar simultáneamente y también se pueden establecer sitios secundarios resistentes.

0 comentarios:

Publicar un comentario