Revocación de certificados

Obtenga información sobre cómo revocar un certificado o una autoridad de certificación (CA) para ayudar a mantener los recursos seguros en caso de que un certificado ya no sea de confianza.

Puede revocar un certificado o una autoridad de certificación (CA) si desea invalidarlo como recurso de confianza por cualquier serie de motivos. La revocación permite indicar que una versión específica de un certificado o una autoridad de certificación ya no es de confianza y marcarla como no válida para su uso antes del final de su período de validez. Aunque puede revocar versiones específicas, siempre debe tener al menos una versión de un certificado o una autoridad de certificación, a menos que suprima el recurso por completo. Si decide suprimir una autoridad de certificación, le recomendamos que primero revoque la autoridad de certificación.

Para revocar una versión de certificado o una versión de CA, emita y publique una lista de revocación de certificados (CRL). Las CRL se publican cuando se revoca una versión de CA o una versión de certificado, así como cuando se crea una autoridad de certificación. Una CRL muestra los certificados X.509 que una CA ha revocado antes de su fecha de caducidad. Cuando se crea una autoridad de certificación inicialmente, la CRL es una lista vacía que no contiene certificados revocados.

Si no configura una autoridad de certificación para revocación al crearla, puede configurar la revocación más adelante. Cualquier versión de certificado o versión de CA que revoque antes de configurar la revocación, que incluya la publicación correspondiente de una CRL, se publicará en la CRL cuando la CRL esté disponible.

En una CRL, el estado de revocación incluye un motivo para la revocación y el estado de revocación de una autoridad de certificación y sus certificados no necesitan coincidir. Los estados de revocación pueden incluir:

• NO ESPECIFICADO. No hay ningún motivo específico. (Aunque puede revocar un certificado sin especificar el motivo, no se recomienda esta práctica).
• KEY_COMPROMISE. Compromiso esperado o real de la clave privada correspondiente a la clave pública en el certificado. Por ejemplo, el dispositivo que almacena la clave privada se ha perdido o lo han robado. (Este motivo se utiliza para certificados de entidad final).
• CA_COMPROMISE. Compromiso esperado o real de una autoridad de certificación o la clave privada correspondiente a la clave pública en el certificado de autoridad de certificación. De nuevo, por ejemplo, el dispositivo que almacena la clave privada se ha perdido o lo han robado.
• AFFILIATION_CHANGED. La información de sujeto del certificado u otros detalles del certificado cambiaron porque una persona dejó la organización especificada en el atributo Nombre distintivo del certificado.
• SUSTITUIDO. Se ha emitido un certificado de sustitución que sustituye al certificado revocado y el motivo no es uno de los otros motivos de revocación.
• CESSATION_OF_OPERATION. La autoridad de certificación está dejando de operar y ya no publica CRL para los certificados emitidos actualmente.
• PRIVILEGE_WITHDRAWN. El titular del certificado ya no tiene los privilegios necesarios para continuar utilizando el certificado.
• AA_COMPROMISE. Compromiso esperado o real de la autoridad de autenticación (AA) validada en el certificado.

Para validar un certificado, los clientes de un certificado obtienen el archivo .crl alojado en el punto final designado en el certificado como punto de distribución de CRL (CDP). A continuación, comprueban si el archivo muestra el número de serie del certificado. Cualquier certificado incluido en la CRL se rechaza por no ser válido.

Debe tener un cubo de Oracle Cloud Infrastructure Object Storage dedicado único en el que pueda almacenar la CRL antes de crear una autoridad de certificación o antes de configurar una autoridad de certificación para la revocación. Si el servicio no puede publicar una CRL en Object Storage después de varios intentos, el siguiente intento de publicar la CRL se produce cuando se revoca el siguiente certificado.

Las CRL se publican con un período de validez de siete días y se refrescan cada tres días, antes de que caduquen o cuando se revoca un certificado. Una autoridad de certificación puede refrescar una CRL siempre que el estado del ciclo de vida de la CA sea 'Activo'.

Tiene la responsabilidad de alojar el CDP en un punto final al que pueden acceder los clientes. El servicio no valida los puntos finales del CDP. El CDP de un certificado se incluye en el certificado y en el certificado de la autoridad de certificación emisora. Puede tener una dirección HTTPS como CDP solo si puede garantizar que no haya dependencias circulares en la verificación de la cadena HTTPS.

La actualización de los detalles de la CRL, incluido el cubo de Object Storage donde está almacenado o la URL de la CDP, no actualiza automáticamente el certificado de la versión de CA actual. Si desea emitir un nuevo certificado para reflejar un nuevo CDP, debe crear una nueva versión de autoridad de certificación.

La revocación de un certificado coloca el estado del ciclo de vida del recurso en "Actualizando" hasta que la CRL se publique correctamente en el cubo de Object Storage, si la autoridad de certificación emisora está configurada para publicar una CRL. Una autoridad de certificación revocada permanece en estado 'Activo' porque aún puede renovar la autoridad de certificación. Solo se revoca la versión de CA. Además, la revocación de una autoridad de certificación no afecta al estado de revocación de una CA subordinada ni a los certificados emitidos por la CA. Oracle recomienda revocar a todos los descendientes de la jerarquía si una autoridad de certificación emisora se ve comprometida.