CRL son las siglas en inglés de “Certificate Revocation List” (Lista de Revocación de Certificados). En el entorno de la ciberseguridad, una CRL es un archivo digital que contiene una lista de certificados digitales que han sido revocados y ya no deben ser confiables.
Los certificados digitales son utilizados en la criptografía de clave pública para garantizar la autenticidad y la seguridad de las comunicaciones electrónicas. Cada certificado digital es emitido por una autoridad de certificación (CA) y contiene información sobre la entidad a la que se ha otorgado el certificado, así como una clave pública que se utiliza para cifrar y descifrar los datos.
Características de una CRL
Estas características aseguran que las Certificate Revocation Lists sean una parte esencial de la infraestructura de clave pública (PKI) utilizada para mantener la seguridad y la integridad de las comunicaciones seguras en línea y para garantizar que los certificados digitales sean confiables. Son las siguientes:
- Identificación de Certificados Revocados: La función principal de una CRL es identificar los certificados digitales que han sido revocados antes de su fecha de vencimiento prevista. Esto puede deberse a compromisos de seguridad, pérdida de claves privadas u otras razones.
- Actualización Periódica: Una CRL se actualiza periódicamente para reflejar los cambios en el estado de los certificados. Esto garantiza que las partes interesadas, como navegadores web y aplicaciones de seguridad, siempre tengan información actualizada sobre certificados revocados.
- Publicación: La CRL se publica en un lugar accesible, generalmente en un servidor web o en un directorio LDAP (Lightweight Directory Access Protocol). Esto permite que los sistemas y aplicaciones la descarguen y verifiquen regularmente.
- Verificación de Certificados: Antes de confiar en un certificado digital, un sistema o aplicación verifica su validez. Esto se hace comprobando si el certificado aparece en la CRL o si la firma digital del certificado puede ser validada utilizando la clave pública de la Autoridad de Certificación (CA).
- Firma Digital: La CRL en sí misma está firmada digitalmente por la CA que la emitió. Esto garantiza la integridad de la lista y evita que sea alterada por partes no autorizadas.
- Distribución: Las CRL se distribuyen a través de protocolos seguros, como HTTP seguro (HTTPS) o LDAP seguro (LDAPS), para garantizar la confidencialidad durante la transmisión.
CRL de eventos y CRL de tiempo
Las Certificate Revocation Lists (CRLs) en ciberseguridad pueden tener diferentes tipos, dependiendo de las necesidades de seguridad y las políticas de la organización. Aquí hay dos tipos comunes de CRL:
- CRL Basada en Tiempo (CRL por intervalo de tiempo): Este tipo de CRL se actualiza a intervalos regulares, como diariamente, semanalmente o mensualmente. Contiene una lista de todos los certificados revocados emitidos por la CA dentro de un período específico.
- CRL Basada en Eventos (CRL por eventos de revocación): En este enfoque, la CRL se actualiza cada vez que se revoca un certificado. Cada revocación se agrega de inmediato a la CRL, lo que garantiza que la lista esté siempre actualizada y que los certificados revocados se incluyan en tiempo real. Esto puede ser útil cuando es crítico revocar certificados de inmediato, como en caso de una violación de seguridad.
Aplicaciones reales de las CRL
Algunos ejemplos reales de cómo funcionan y se utilizan:
- Navegadores Web: Los navegadores web utilizan CRLs para verificar la validez de los certificados SSL/TLS de los sitios web. Cuando visitas un sitio web seguro (https://), el navegador verifica si el certificado SSL/TLS del sitio aparece en una CRL. Si el certificado está en la lista, el navegador mostrará una advertencia de seguridad al usuario.
- Autenticación de Usuarios: En sistemas de autenticación fuerte, como las redes virtuales privadas (VPN) empresariales, las CRLs se utilizan para verificar la validez de los certificados de usuario. Si un empleado cambia de trabajo o pierde su dispositivo, su certificado puede ser revocado y agregado a la CRL para evitar su uso no autorizado.
- Acceso a Recursos Críticos: En entornos donde se accede a recursos críticos, como sistemas de control industrial o infraestructuras de energía, las CRLs son esenciales para garantizar que solo los dispositivos y sistemas autorizados puedan conectarse y operar. Los certificados de acceso a estos recursos se revocan si se detecta una amenaza o un problema de seguridad.
- Servidores de Correo Electrónico Seguro: Los servidores de correo electrónico que utilizan el protocolo STARTTLS para cifrar las comunicaciones también pueden verificar la validez de los certificados en una CRL. Esto garantiza que las comunicaciones de correo electrónico estén protegidas y que los certificados comprometidos no se utilicen para interceptar mensajes.
- Firmas Digitales: Al firmar documentos digitalmente con un certificado digital, la verificación de la validez del certificado se basa en parte en la consulta de la CRL correspondiente. Esto garantiza que las firmas digitales sean válidas y confiables.
- Autenticación de Servicios en Red: Las CRLs se utilizan en autenticación de servicios en red, como servicios web, para verificar la autenticidad de los certificados de servidor. Esto evita la conexión a servicios falsificados o comprometidos.