Servicio OCSP

 

Online Certificate Status Protocol: Verificación en origen

 

El servicio OCSP permite determinar el estado de vigencia de un certificado mediante consulta a los servidores de confianza (OCSP Responder) de la Autoridad de Validación.

Al realizar una consulta por URL, se obtiene como respuesta una evidencia digital firmada por ANF AC sobre la validez de un certificado en un momento dado. Asimismo ANF AC almacena y custodia una copia de cada respuesta generada.

Los repositorios a los que acceden los servidores OCSP Responder están permanentemente actualizados, y cumplen con el documento RFC 6960 ("Online Certificate Status Protocol Algorithm Agility") de la IETF.

El enlace al servicio OCSP aparece reseñada en el propio certificado de interés.

Existen múltiples librerías basadas en diversos lenguajes de programación, las más comunes son:

·         CryptoAPI de Microsoft: Las librerías criptográficas de Microsoft incluyen soporte protocolo OCSP por defecto en su plataforma .NET: http://msdn.microsoft.com/en-us/library/aa380253(VS.85).aspx

·         BouncyCastle (http://www.bouncycastle.org) y Novosec Extensions (http://sourceforge.net/projects/novosec-bc-ext) : Conjunto de librerías criptográficas que implementan el protocolo OCSP en los lenguajes Java y C#

·         OpenSSL (http://www.openssl.org): Es una ampliación de la librería criptográfica OpenSSL que implementa el protocolo OCSP en lenguaje C.

·         Adobe Reader: Las últimas versiones permiten validar certificados incluidos en documentos PDF.

Por ejemplo, una consulta realizada a través de OpenSSL tendría la siguiente sintaxis:

OpenSSL ocsp -CAfile issuer cert url

El campo deberá ser el indicado en el campo “Authority Information Access” del certificado.

Para más información consulte la Política de Validación de ANF AC