Revoca del certificato, come funziona con CRL o OCSP
Condividi
La revoca dei SSL Certificates svolge un ruolo cruciale nel mantenere la sicurezza e l'integrità dell'ecosistema Public Key Infrastructure (PKI).
Quando un SSL Certificates deve essere invalidato prima della sua naturale scadenza, la Certificate Authority (CA) deve disporre di meccanismi affidabili per informare i client e i browser che non ci si può più fidare del SSL Certificate.
Questo processo aiuta a proteggere gli utenti da SSL Certificates compromessi o fraudolenti che altrimenti potrebbero rimanere attivi per mesi o anni.
Informazioni sulle Certificate Revocation List (CRL)
Le Certificate Revocation List rappresentano il metodo tradizionale di pubblicazione delle informazioni sui SSL Certificates revocati.
Una CRL è essenzialmente un elenco con data e ora firmate da una Certificate Authority che contiene i numeri di serie di tutti gli SSL Certificates revocati che non hanno ancora raggiunto la loro data di scadenza.
Quando un browser incontra un Certificato SSL, può scaricare e controllare la relativa CRL per verificare se quel Certificato SSL è stato revocato.
Le CRL sono in genere aggiornate dalle Certificate Authority a intervalli regolari, spesso ogni 24 ore o quando si verifica una revoca urgente. Ogni CRL contiene metadati critici, tra cui il nome dell'emittente, la data di entrata in vigore e l'ora del prossimo aggiornamento.
Sebbene le CRL rappresentino una soluzione completa per il controllo dello stato dei certificati SSL, possono diventare piuttosto grandi poiché accumulano certificati SSL revocati nel tempo. Questo problema di dimensioni può portare a un aumento dell'utilizzo della larghezza di banda e a potenziali impatti sulle prestazioni quando i client devono scaricare ed elaborare gli elenchi.
Protocollo di stato dei certificati online (OCSP)
OCSP è stato sviluppato per risolvere i limiti delle CRL, fornendo informazioni in tempo reale sullo stato degli SSL Certificates.
Invece di scaricare intere liste di revoca, OCSP consente ai client di interrogare lo stato attuale di uno specifico SSL Certificate direttamente dalla Certificate Authority. Questo approccio riduce significativamente i requisiti di larghezza di banda e fornisce aggiornamenti più immediati sullo stato di revoca rispetto ai sistemi basati su CRL.
Quando un browser si collega a un sito web protetto da un SSL Certificate, può inviare una richiesta OCSP per verificare lo stato del certificato SSL. Il risponditore OCSP, gestito dalla Certificate Authority, restituisce una risposta firmata che indica se l'SSL Certificate è valido, revocato o sconosciuto.
Questo processo avviene in modo rapido ed efficiente, richiedendo in genere solo pochi kilobyte di trasferimento dati.
La pinzatura OCSP e i moderni miglioramenti
L'OCSP Stapling rappresenta un miglioramento significativo del modello OCSP tradizionale. Con OCSP Stapling, il server web ottiene periodicamente una risposta OCSP dalla Certificate Authority e la include (staples) direttamente nell'handshake SSL Certificates/TLS.
Questo approccio elimina la necessità per i browser di effettuare interrogazioni OCSP separate, riducendo i tempi di connessione e migliorando la privacy, in quanto impedisce alla Certificate Authority di tracciare i controlli di stato dei singoli SSL Certificates.
I moderni SSL Certificates emessi da Trustico® supportano entrambi i metodi di controllo della revoca CRL e OCSP, garantendo la massima compatibilità e sicurezza tra i diversi sistemi client.
Gli amministratori dei server possono configurare i loro sistemi in modo da utilizzare l'OCSP Stapling, garantendo prestazioni ottimali e mantenendo al contempo solidi processi di convalida degli SSL Certificates.
L'implementazione di questi meccanismi di controllo della revoca contribuisce a mantenere la sicurezza generale dell'ecosistema SSL Certificate e protegge gli utenti da certificati SSL potenzialmente compromessi.
Scenari comuni di revoca
La revoca degli SSL Certificates si verifica in diversi scenari comuni. La compromissione della chiave privata rappresenta una delle ragioni più critiche per la revoca immediata di un SSL Certificates, in quanto indica un potenziale accesso non autorizzato alle comunicazioni criptate.
Altri scenari includono il cambio di nome dell'organizzazione, la dismissione del server o la scoperta di informazioni errate nella richiesta originale di SSL Certificate.
Le Certificate Authority come Trustico® mantengono procedure rigorose per la gestione delle richieste di revoca, per garantire l'integrità del sistema PKI.
