Revocación de certificados

Obtenga información sobre cómo revocar un certificado o una autoridad de certificación (CA) para ayudar a mantener los recursos seguros en caso de que un certificado ya no sea de confianza.

Puede revocar un certificado o una autoridad de certificado (CA) si desea invalidarlo como recurso protegido por cualquier serie de motivos. La revocación permite indicar que una versión específica de un certificado o una autoridad de certificación ya no es de confianza y marcarla como no válida para su uso antes del final de su período de validez. Aunque puede revocar versiones específicas, siempre debe tener al menos una versión de un certificado o una autoridad de certificación, a menos que suprima el recurso por completo. Si decide suprimir una autoridad de certificación, le recomendamos que primero revoque la autoridad de certificación.

Para revocar una versión de certificado o una versión de CA, emita y publique una lista de revocación de certificados (CRL). Las CRL se publican cuando se revoca una versión de CA o una versión de certificado, así como cuando se crea una autoridad de certificación. Una CRL muestra los certificados X.509 que una CA revocó antes de su fecha de caducidad. Cuando se crea una autoridad de certificación inicialmente, la CRL es una lista vacía que no contiene certificados revocados.

Si no se configura una autoridad de certificación para revocación al crearla, puede configurarla más adelante. Cualquier versión de certificado o versión de CA que revoque antes de configurar la revocación, que incluya la publicación correspondiente de una CRL, se publicará en la CRL cuando la CRL esté disponible.

En una CRL, el estado de revocación incluye un motivo para la revocación y el estado de revocación de una CA y sus certificados que no necesitan coincidir. Los estados de revocación pueden incluir:

• NO ESPECIFICADO. No hay ningún motivo específico. (Aunque puede revocar un certificado sin especificar el motivo, la práctica no se recomienda).
• KEY_COMPROMISE. Compromiso esperado o real de la clave privada correspondiente a la clave pública en el certificado. Por ejemplo, el dispositivo que almacena la clave privada se ha perdido o lo han robado. (Este motivo se utiliza para certificados de entidad final).
• CA_COMPROMISE. Compromiso esperado o real de una autoridad de certificación o la clave privada correspondiente a la clave pública en el certificado de autoridad de certificación. De nuevo, por ejemplo, el dispositivo que almacena la clave privada se ha perdido o lo han robado.
• AFFILIATION_CHANGED. La información de sujeto del certificado u otros detalles del certificado cambiaron porque una persona dejó la organización especificada en el atributo Nombre distintivo del certificado.
• SUSTITUIDO. Se ha emitido uno de los certificados de sustitución que sustituye al certificado revocado y el motivo no está entre los otros motivos.
• CESSATION_OF_OPERATION. La autoridad de certificación está dejando de operar y ya no publica CRL para los certificados emitidos actualmente.
• PRIVILEGE_WITHDRAWN. El titular del certificado ya no tiene los privilegios necesarios para continuar utilizando el certificado.
• AA_COMPROMISE. Compromiso esperado o real de la autoridad de autenticación (AA) validada en el certificado.

Para validar un certificado, los clientes de un certificado obtienen el archivo .crl alojado en el punto final designado en el certificado como punto de distribución de CRL (CDP). A continuación, comprueban si el archivo muestra el número de serie del certificado. Cualquier certificado incluido en la CRL se rechaza por no ser válido.

Debe tener un cubo único y dedicado de Oracle Cloud Infrastructure Object Storage en el que pueda almacenar la CRL antes del proceso de creación de una CA o antes del proceso de configuración de una CA para la revocación. Si el servicio no se puede publicar una CRL en Object Storage tras varios intentos, se produce el siguiente intento de publicar la CRL cuando se revoca el siguiente certificado.

Las CRL se publican con un período de validez de siete días y se refrescan cada tres días, antes de que caduquen o cuando se revoca un certificado. Una autoridad de certificación puede refrescar una CRL siempre que el estado del ciclo de vida de la CA sea 'Activo'.

Tiene la responsabilidad de alojar el CDP en un punto final al que pueden acceder los clientes. El servicio no valida los puntos finales de CDP. El CDP de un certificado se incluye en el certificado y en el certificado de la autoridad de certificación emisora. Puede tener una dirección HTTPS como CDP solo si puede garantizar que no haya dependencias circulares en la verificación de la cadena HTTPS.

La actualización de los detalles de la CRL, incluido el cubo de Object Storage donde se almacena o la URL de la CDP, no actualiza automáticamente el certificado de la versión actual de CA. Si desea emitir un nuevo certificado para reflejar un nuevo CDP, debe crear una nueva versión de autoridad de certificación.

Al revocar un certificado, el estado del ciclo de vida del recurso pasará a 'Actualizando' hasta que la CRL se publique correctamente en el cubo de Object Storage, si la CA emisora está configurada para publicar una CRL. Si la publicación de la CRL falla por cualquier motivo, el estado del ciclo de vida del recurso que intentó revocar pasa de 'Actualizando' a 'Activo' para que pueda realizar otras acciones en el recurso, según sea necesario. Una CA revocada permanece en estado 'Activo' porque aún puede renovar la autoridad de certificación. Solo se revoca la versión de CA. Además, la revocación de una autoridad de certificación, no afecta al estado de revocación de una CA subordinada ni de los certificados emitidos por la CA. Le recomendamos que revoque a todos las personas descendientes de la jerarquía si una CA emisora se ve comprometida.