Licenciado En Informalica
Páginas: 6 (1390 palabras)
Publicado: 24 de febrero de 2013
Online Certificate Status Protocol
De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda
Online Certificate Status Protocol (OCSP) es un método para determinar el estado de revocación de un certificado digital X.509 usando otros medios que no sean el uso de CRL (Listas de Revocación de Certificados). Este protocolo se describe en el RFC 2560 y está en el registro de estándares deInternet.
Los mensajes OCSP se codifican en ASN.1 y habitualmente se transmiten sobre el protocolo HTTP. La naturaleza de las peticiones y respuestas de OCSP hace que a los servidores OCSP se les conozca como "OCSP responders".
Contenido[ocultar] * 1 Ventajas sobre las CRL (Certificate Revocation List) * 2 Comparación de eficiencia CRL versus OCSP * 2.1 Con respecto al ancho de banday al tiempo de validación * 2.1.1 Gráficos de OCSP * 2.1.2 Gráficos de CRL * 2.2 Con respecto al número de usuarios * 3 Implementación básica de una PKI * 4 Detalles del protocolo * 5 Implementaciones * 6 Referencias * 7 Enlaces externos |
[editar] Ventajas sobre las CRL (Certificate Revocation List)
OCSP fue creado para solventar ciertas deficiencias de las CRL.Cuando se despliega una PKI (Infraestructura de Clave Pública), es preferible la validación de los certificados mediante OCSP sobre el uso de CRL por varias razones:
* OCSP puede proporcionar una información más adecuada y reciente del estado de revocación de un certificado.
* OCSP elimina la necesidad de que los clientes tengan que obtener y procesar las CRL, ahorrando de este modo tráficode red y procesado por parte del cliente.
* El contenido de las CRL puede considerarse información sensible, análogamente a la lista de morosos de un banco.
* Un "OCSP responder" puede implementar mecanismos de tarificación para pasarle el coste de la validación de las transacciones al vendedor, más bien que al cliente.
* OCSP soporta el encadenamiento de confianza de las peticionesOCSP entre los "responders". Esto permite que los clientes se comuniquen con un "responder" de confianza para lanzar una petición a una autoridad de certificación alternativa dentro de la misma PKI.
* Una consulta sobre el estado de un certificado sobre una CRL, debe recorrerla completa secuencialmente para decir si es válido o no. Un "OCSP responder" en el fondo, usa un motor de base de datospara consultar el estado del certificado solicitado, con todas las ventajas y estructura para facilitar las consultas. Esto se manifiesta aún más cuando el tamaño de la CRL es muy grande.
[editar] Comparación de eficiencia CRL versus OCSP
Una diferencia importante entre CRL y OCSP, es que una CRL puede ser almacenada temporalmente para hacer consultas locales, en cambio para usar OCSP serequiere de conexión con el "OCSP responder". Si bien la CRL está disponible sin conexión, mientras más tiempo esté sin actualizarse, se hace menos confiable la información que nos brinde, porque pueden haberse revocado algunos certificados entre actualizaciones.
Esto da lugar a una diferencia en la eficiencia del uso del ancho de banda para efectos exclusivos de consultas por estado de certificados.[1][editar] Con respecto al ancho de banda y al tiempo de validación
Si se considera que se usa una CRL almacenada por un tiempo para ser consultada, versus el ancho de banda que se usa por cada consulta a través de OCSP, existe una diferencia de uso de ancho de banda que crece mientras aumenta el número de validaciones por día que debe responder la Autoridad Certificadora. Con CRL, el ancho debanda usado sigue una curva logarítmica, por el hecho de que aunque aumenten las consultas diarias, estas se hacen a la CRL almacenada. En cambio, con OCSP, si las consultas aumentan necesariamente aumenta el ancho de banda usado, por lo que la curva resultante es exponencial. Debido a esto, el tiempo de validación, a pesar de seguir la misma curva, al aumentar las validaciones por día, usando...
De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda
Online Certificate Status Protocol (OCSP) es un método para determinar el estado de revocación de un certificado digital X.509 usando otros medios que no sean el uso de CRL (Listas de Revocación de Certificados). Este protocolo se describe en el RFC 2560 y está en el registro de estándares deInternet.
Los mensajes OCSP se codifican en ASN.1 y habitualmente se transmiten sobre el protocolo HTTP. La naturaleza de las peticiones y respuestas de OCSP hace que a los servidores OCSP se les conozca como "OCSP responders".
Contenido[ocultar] * 1 Ventajas sobre las CRL (Certificate Revocation List) * 2 Comparación de eficiencia CRL versus OCSP * 2.1 Con respecto al ancho de banday al tiempo de validación * 2.1.1 Gráficos de OCSP * 2.1.2 Gráficos de CRL * 2.2 Con respecto al número de usuarios * 3 Implementación básica de una PKI * 4 Detalles del protocolo * 5 Implementaciones * 6 Referencias * 7 Enlaces externos |
[editar] Ventajas sobre las CRL (Certificate Revocation List)
OCSP fue creado para solventar ciertas deficiencias de las CRL.Cuando se despliega una PKI (Infraestructura de Clave Pública), es preferible la validación de los certificados mediante OCSP sobre el uso de CRL por varias razones:
* OCSP puede proporcionar una información más adecuada y reciente del estado de revocación de un certificado.
* OCSP elimina la necesidad de que los clientes tengan que obtener y procesar las CRL, ahorrando de este modo tráficode red y procesado por parte del cliente.
* El contenido de las CRL puede considerarse información sensible, análogamente a la lista de morosos de un banco.
* Un "OCSP responder" puede implementar mecanismos de tarificación para pasarle el coste de la validación de las transacciones al vendedor, más bien que al cliente.
* OCSP soporta el encadenamiento de confianza de las peticionesOCSP entre los "responders". Esto permite que los clientes se comuniquen con un "responder" de confianza para lanzar una petición a una autoridad de certificación alternativa dentro de la misma PKI.
* Una consulta sobre el estado de un certificado sobre una CRL, debe recorrerla completa secuencialmente para decir si es válido o no. Un "OCSP responder" en el fondo, usa un motor de base de datospara consultar el estado del certificado solicitado, con todas las ventajas y estructura para facilitar las consultas. Esto se manifiesta aún más cuando el tamaño de la CRL es muy grande.
[editar] Comparación de eficiencia CRL versus OCSP
Una diferencia importante entre CRL y OCSP, es que una CRL puede ser almacenada temporalmente para hacer consultas locales, en cambio para usar OCSP serequiere de conexión con el "OCSP responder". Si bien la CRL está disponible sin conexión, mientras más tiempo esté sin actualizarse, se hace menos confiable la información que nos brinde, porque pueden haberse revocado algunos certificados entre actualizaciones.
Esto da lugar a una diferencia en la eficiencia del uso del ancho de banda para efectos exclusivos de consultas por estado de certificados.[1][editar] Con respecto al ancho de banda y al tiempo de validación
Si se considera que se usa una CRL almacenada por un tiempo para ser consultada, versus el ancho de banda que se usa por cada consulta a través de OCSP, existe una diferencia de uso de ancho de banda que crece mientras aumenta el número de validaciones por día que debe responder la Autoridad Certificadora. Con CRL, el ancho debanda usado sigue una curva logarítmica, por el hecho de que aunque aumenten las consultas diarias, estas se hacen a la CRL almacenada. En cambio, con OCSP, si las consultas aumentan necesariamente aumenta el ancho de banda usado, por lo que la curva resultante es exponencial. Debido a esto, el tiempo de validación, a pesar de seguir la misma curva, al aumentar las validaciones por día, usando...
Leer documento completo
Regístrate para leer el documento completo.