Validación de certificados
Conocer el estado de un certificado es fundamental para poder confiar en él.
En qué consiste y para que sirve
Los servicios de validación permiten conocer si un determinado certificado digital ha sido revocado o no en un momento dado.
Todo sistema o aplicación siempre debe verificar que un certificado es válido antes de aceptarlo.
Ofrecemos públicamente y de forma gratuita los siguientes servicios de consulta para los certificados que expedimos.
Validación de certificados mediante:
- Listas de certificados revocados (CRLs)
- Protocolo de estado de certificado en línea (OCSP)
Listas de certificados revocados (CRLs)
Para saber si un certificado que aún no ha caducado es de confianza debe comprobar si su número de serie está incluido en la CRL publicada por la Autoridad de Certificación emisora. Si es así, el certificado ha sido revocado y no es de confianza.
A continuación puedes descargar nuestras CRLs, las cuales no incluyen certificados caducados.
Protocolo de estado de certificado en línea (OCSP)
Definido en el estándar RFC-6960 - OCSP over HTTP, proporciona a los usuarios y las aplicaciones un método ágil y rápido de obtener el estado de un certificado, evitando tener que descargar la Lista de certificados revocados (CRL).
http://ocsp.accv.es es el punto desde donde prestamos el servicio.
El certificado del servidor OCSP, que es necesario para la comprobación de la firma de las respuestas, se puede descargar a continuación:
OCSP ACCVRAIZ1
OCSP ACCVCA-110
OCSP ACCVCA-120
Información que podría ser útil
Estas son algunas de las preguntas más comunes que recibimos. Si no encuentras respuesta a tu duda, contáctanos.
¿Qué coste tiene?
Estos servicios son públicos y se prestan gratuitamente.
Acabo de revocar mi certificado y aún puedo usarlo, ¿por qué?
Si un trámite valida nuestros certificados por CRL, existe por definición tecnológica un período de hasta 3 horas en nuestro caso en que el certificado aún puede aparecer activo. Si la validación se realiza por OCSP, esto no ocurre.
Es el Organismo propietario del trámite quien decide cómo validar, no nosotros. Aunque como puedes ver nuestra recomendación es hacerlo por OCSP, y CRL sólo si el primero no está disponible.
Si accedo al OCSP desde mi navegador web, no veo nada.
Aunque veas que el OCSP se presta en una URL como si fuera una página web, no lo es. Es por eso que no ves nada con sentido.
Para consultar el OCSP debes hacerlo con herramientas que implementen el estándar RFC-6960 - OCSP over HTTP. Un ejemplo es OpenSSL.
¿Cómo sé el número de serie de mi certificado?
Es un valor que está dentro de tu certificado. Cualquier visor de certificados que te permita ver el contenido, te permitirá encontrar fácilmente el número de serie.
¿Qué CRL me descargo?
Debes descargar la de la Autoridad de Certificación que haya emitido el certificado que quieras validar.
Me he descargado la CRL, ¿pero cómo veo si mi certificado está en ella?
Debes utilizar herramientas que sepan trabajar con CRLs, y deberás tener tu certificado o su número de serie. Según la herramienta.
De todas formas, estos servicios están pensados para profesiones técnicos que los necesiten en sus sistemas o aplicaciones. Los usuarios convencionales pueden validar sus certificados, por ejemplo, en VALIDe.
¿Qué certificado de OCSP debo descargar?
Debes descargar el que figure como activo para la Autoridad de Certificación que ha emitido el certificado que deseas validar. El resto son por si tuvieras respuestas OCSP pasadas guardadas, para que puedas también validarlas.
Recuerda que estos servicios están pensados para profesiones técnicos que los necesiten en sus sistemas o aplicaciones. Los usuarios convencionales pueden validar sus certificados, por ejemplo, en VALIDe.