¿Qué es una lista de revocación de certificados?
Una lista de revocación de certificados (CRL) es un componente del estándar de seguridad X.509 de la Unión Internacional de Telecomunicaciones (UIT). Según el estándar X.509, una autoridad de certificación (CA) puede usar una CRL para retener o revocar explícitamente cualquier certificado de seguridad digital que haya emitido y que no haya expirado. Luego, la CRL es distribuida y utilizada por varios programas de computadora para confirmar la validez de los certificados de seguridad utilizados para identificar una fuente.
La generación de un certificado de seguridad por una CA se enmarca en lo que se denomina infraestructura de clave pública (PKI). A través de una PKI, cualquier usuario puede ser identificado por la clave pública de su par de claves de seguridad, siendo la clave privada del usuario la otra mitad del par. Luego, un usuario se pone en contacto con una CA y, utilizando su clave pública como identificación, solicita un certificado de seguridad. Después de alguna medida de verificación de la identidad real del usuario, la CA puede emitir un certificado vinculado a la clave pública del usuario. Mediante este método, la CA actúa como un tercero de confianza, garantizando la identidad del usuario al que se le ha emitido un certificado.
Un certificado de seguridad digital generalmente tiene una vida útil de uno o dos años. Una vez que el certificado caduca, el usuario debe renovar su certificado existente volviendo a validar su identidad o solicitando un nuevo certificado directamente. La fecha de vencimiento de un certificado se incluye en el certificado mismo, por lo que el software de la computadora sabe cuándo dejar de honrar un certificado vencido. Sin embargo, hay ocasiones en que un certificado puede ser revocado antes de su fecha de vencimiento. Para esas instancias, una CA debe mantener una lista de revocación de certificados que enumere los certificados que no hayan expirado pero que no se pueda confiar por alguna razón.
Una lista de revocación de certificados contiene una serie de posibles razones para revocar un certificado. El más común es que la clave privada para el propietario del certificado ya no es segura, momento en el cual el certificado permanece en la lista hasta su fecha de vencimiento. En este caso, el usuario debe generar un nuevo par de claves y solicitar un certificado completamente nuevo.
Por supuesto, hay otras razones por las que un certificado puede aparecer en la CRL. Un certificado se puede enumerar si ha sido reemplazado por otro o si hay algún cambio en la información contenida en el certificado sobre su propietario, o si la propia CA ha sido comprometida, con lo cual la propia CA aparecerá en lo que se llama una lista de revocación de autoridad (ARL) Otra razón por la que un certificado puede aparecer en una CRL es porque el certificado se encuentra en espera por algún motivo. En el caso de un certificado que figura como retenido, se puede restablecer en la próxima CRL distribuida por la CA. Los muchos cambios frecuentes en los estados de los certificados de seguridad digital significan que una lista de revocación de certificados generalmente tiene una esperanza de vida de aproximadamente 24 horas, aunque a veces menos.