Espero publicar algunos artículos sobre uso de SSL y certificados en diferentes infraestructuras cuando disponga de algo mas de tiempo libre, entretanto dejo una breve descripción de los principales elementos que componen una infraestructura de clave publica (PKI).
PKI (public key infrastructure, infraestructura de clave publica): una PKI provee la posibilidad de intercambiar datos a través de una red publica de forma segura usando criptografía de clave publica. Una PKI consiste de diferentes elementos; entidades emisoras de certificados (CA), directorios que guardan estos certificados y certificados x.509 que son emitidos a entidades de seguridad en la red.
Entidad emisora de certificados / Certificate Authority (CA): se trata de una entidad que emite certificados y que asegura que la clave publica (public key) que se encuentra en un certificado emitido por ella pertenece realmente a la persona, organizacion o entidad que se especifica en el mismo certificado.
Authority Information Access (AIA): una extensión de certificado que contienes direcciones URI donde obtener el certificado de la CA emisora. Puede contener direcciones HTTP, FTP, LDAP o URLs de ficheros.
Certificate Revocation List (CRL): una lista firmada digitalmente emitida por una CA que contiene una lista de certificados emitidos por la CA que han sido revocados con su correspondiente razón de forma que se consulta para comprobar si los certificados han sido recovados y porque.
CRL Distribution Point (CDP): una extensión del certificado que nos indica donde se puede obtener la CRL de una CA, puede contener múltiples direcciones de fichero, HTTP, FTP o URLs LDAP.
Delta Certificate Revocation List (Delta CRL): un tipo de CRL que nos indica los cambios realizados respecto a la revocación de certificados que han sido hechos desde la publicación de la ultima CRL completa, se usa para ahorrar ancho de banda en entornos donde se revocan gran numero de certificados.
Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP): se trata de un protocolo que permite validar en tiempo real el estado de un certificado. CryptoAPI llamara al servicio OCSP y este proveerá una respuesta inmediata del estado de validación del certificado. Habitualmente OCSP realizara una consulta contra una CRL para obtener esta información.
Categorias: