¿Qué es una lista de revocación de certificados?

Una lista de revocación de certificados (CRL) es un componente del estándar de seguridad X.509 de la Unión Internacional de Telecomunicaciones (UIT). De acuerdo con el estándar X.509, una autoridad de certificación (CA) puede usar una CRL para retener o revocar explícitamente cualquier certificado de seguridad digital que haya emitido y que no haya caducado. Luego, la CRL es distribuida y utilizada por varios programas informáticos para confirmar la validez de los certificados de seguridad utilizados para identificar una fuente.

La generación de un certificado de seguridad por parte de una CA se enmarca en lo que se denomina infraestructura de clave pública (PKI). A través de una PKI, cualquier usuario puede ser identificado por la clave pública de su par de claves de seguridad, siendo la clave privada del usuario la otra mitad del par. A continuación, un usuario se pone en contacto con una CA y, utilizando su clave pública como identificación, solicita un certificado de seguridad. Después de cierta medida de investigación de la identidad real del usuario, la CA puede emitir un certificado que está vinculado a la clave pública del usuario. Mediante este método, la CA actúa como un tercero de confianza, garantizando la identidad del usuario al que se le ha emitido un certificado.

Por lo general, un certificado de seguridad digital tiene una vida útil de uno o dos años. Una vez que el certificado caduca, el usuario debe renovar su certificado existente volviendo a validar su identidad o solicitando un nuevo certificado directamente. La fecha de vencimiento de un certificado se incluye en el propio certificado, por lo que el software de computadora sabe cuándo dejar de respetar un certificado vencido. Sin embargo, hay ocasiones en las que es posible que sea necesario revocar un certificado antes de su fecha de vencimiento. Para esos casos, una CA debe mantener una lista de revocación de certificados que enumere todos los certificados que no han caducado pero en los que no se puede confiar por alguna razón.

Una lista de revocación de certificados contiene una serie de posibles razones para revocar un certificado. El más común es que la clave privada para el propietario del certificado ya no es segura, momento en el que el certificado permanece en la lista hasta su fecha de vencimiento. En este caso, el usuario debe generar un nuevo par de claves y solicitar un certificado completamente nuevo.

Por supuesto, existen otras razones por las que un certificado puede aparecer en la CRL. Un certificado puede aparecer en la lista si ha sido reemplazado por otro o si hay algún cambio en la información contenida en el certificado sobre su propietario, o si la propia CA se ha visto comprometida, por lo que la propia CA aparecerá en lo que se llama una lista de revocación de autoridad. (ARL). Otra razón por la que un certificado puede aparecer en una CRL es porque el certificado está en espera por alguna razón. En el caso de un certificado que figura como retenido, puede restablecerse en la siguiente CRL distribuida por la CA. Los muchos y frecuentes cambios en los estados de los certificados de seguridad digital significan que una lista de revocación de certificados generalmente tiene una esperanza de vida de aproximadamente 24 horas, aunque a veces menos.