Validació de certificats
Conéixer l’estat d’un certificat és fonamental per a poder confiar en ell.
En què consisteix i per a què serveix
Els serveis de validació permeten conéixer si un determinat certificat digital ha sigut revocat o no en un moment donat.
Tot sistema o aplicació sempre ha de verificar que un certificat és vàlid abans d’acceptar-lo.
Oferim públicament i de manera gratuïta els següents serveis de consulta per als certificats que expedim.
Validació de certificats mitjançant:
- Llistes de certificats revocats (CRLs)
- Protocol d’estat de certificat en línia (OCSP)
Llistes de certificats revocats (CRLs)
Per a saber si un certificat que encara no ha caducat és de confiança ha de comprovar si el seu número de sèrie està inclòs en la CRL publicada per l’Autoritat de Certificació emissora. Si és així, el certificat ha sigut revocat i no és de confiança.
A continuació pots descarregar nostres CRLs, les quals no inclouen certificats caducats.
Protocol d’estat de certificat en línia (OCSP)
Definit en l’estàndard RFC-6960 - OCSP over HTTP, proporciona als usuaris i les aplicacions un mètode àgil i ràpid d’obtindre l’estat d’un certificat, evitant haver de descarregar la Llista de certificats revocats (CRL).
http://ocsp.accv.es és el punt des d’on prestem el servei.
El certificat del servidor OCSP, que és necessari per a la comprovació de la signatura de les respostes, es pot descarregar a continuació:
OCSP ACCVRAIZ1
OCSP ACCVCA-110
OCSP ACCVCA-120
OCSP ACCVCA-130
Informació que podria ser útil
Aquestes són algunes de les preguntes més comunes que rebem. Si no trobes resposta al teu dubte, contacta’ns.
Quin cost té?
Aquests serveis són públics i es presten gratuïtament.
Acabe de revocar el meu certificat i encara puc usar-lo, per què?
Si un tràmit valida els nostres certificats per CRL, existeix per definició tecnològica un període de fins a 3 hores en el nostre cas en què el certificat encara pot aparéixer actiu. Si la validació es realitza per OCSP, això no ocorre.
És l’Organisme propietari del tràmit qui decideix com validar, no nosaltres. Encara que com pots veure la nostra recomanació és fer-ho per OCSP, i CRL només si el primer no està disponible.
Si accedisc al OCSP des del meu navegador web, no veig res.
Encara que veges que el OCSP es presta en una URL com si fora una pàgina web, no ho és. És per això que no veus res amb sentit.
Per a consultar el OCSP has de fer-ho amb eines que implementen l’estàndard RFC-6960 - OCSP over HTTP. Un exemple és OpenSSL.
Com sé el número de sèrie del meu certificat?
És un valor que està dins del teu certificat. Qualsevol visor de certificats que et permeta veure el contingut, et permetrà trobar fàcilment el número de sèrie.
Què CRL em descarregue?
Has de descarregar la de l’Autoritat de Certificació que haja emés el certificat que vulgues validar.
M’he descarregat la CRL, però com veig si el meu certificat està en ella?
Has d’utilitzar eines que sàpien treballar amb CRLs, i hauràs de tindre el teu certificat o el seu número de sèrie. Segons l’eina.
De totes maneres, aquests serveis estan pensats per a professions tècnics que els necessiten en els seus sistemes o aplicacions. Els usuaris convencionals poden validar els seus certificats, per exemple, en Valide.
Quin certificat d’OCSP he de descarregar?
Has de descarregar el que figure com a actiu per a l’Autoritat de Certificació que ha emés el certificat que desitges validar. La resta són per si tingueres respostes OCSP passades guardades, perquè pugues també validar-les.
Recorda que aquests serveis estan pensats per a professions tècnics que els necessiten en els seus sistemes o aplicacions. Els usuaris convencionals poden validar els seus certificats, per exemple, en Valide.