Verificar la validez de un certificado en tu computadora
Cuando una aplicación recibe contenido protegido o firmado digitalmente desde Internet, como por ejemplo software firmado o sitios web protegidos con HTTPS, debe verificar que el certificado utilizado para salvaguardar el contenido, tal como un certificado de firma de código o SSL, sea válido.
Las aplicaciones tales como navegadores web y sistemas operativos, validan los certificados mediante Listas de revocación de certificados (CRL) o el Protocolo de comprobación del estado de un certificado en línea (OCSP).
Métodos de verificación
Las aplicaciones utilizan dos tipos de métodos de verificación para comprobar la validez de un certificado digital:
Listas de revocación de certificados (CRL) — Una CRL es una lista de los certificados revocados. Las aplicaciones que utilizan listas CRL para verificar los certificados, automáticamente descargan el archivo completo de CRL y comprueban el estado del certificado con la lista. Si está revocado y listado en una CRL, la aplicación no debe confiar en su validez.
Protocolo de comprobación del estado de un certificado en línea (OCSP) — Un servicio de OCSP funciona en base a consultas. Las aplicaciones que utilizan el OCSP comprueban el estado de un certificado sin necesidad de descargar una CRL. El OCSP proporciona una respuesta "buena" o "revocada".
La siguiente tabla sirve de pauta para indicar cómo las aplicaciones y sistemas operativos comunes verifican los certificados. Sin embargo, puede que algunas aplicaciones y sistemas operativos estén configurados para funcionar de manera diferente.
Los proveedores de software determinan el método de validación. La Autoridad de certificación (CA) no posee control alguno sobre cómo se valida un certificado.
Windows® 2000 | Windows XP / Windows Server 2003 | Windows Vista | Windows 7 / Windows Server 2008 | Mac® OS X | |
---|---|---|---|---|---|
Internet Explorer® | CRL | CRL | OCSP en primer lugar; se utilizará una CRL si el OCSP no está disponible | OCSP en primer lugar; se utilizará una CRL si el OCSP no está disponible | N/A |
Firefox® | OCSP | OCSP | OCSP | OCSP | OCSP |
Safari® | N/A | CRL | OCSP en primer lugar; se utilizará una CRL si el OCSP no está disponible | OCSP en primer lugar; se utilizará una CRL si el OCSP no está disponible | OCSP en primer lugar; se utilizará una CRL si el OCSP no está disponible |
Chrome | N/A | CRL | OCSP en primer lugar; se utilizará una CRL si el OCSP no está disponible | OCSP en primer lugar; se utilizará una CRL si el OCSP no está disponible | OCSP en primer lugar; se utilizará una CRL si el OCSP no está disponible |
Opera® | OCSP y CRL | OCSP y CRL | OCSP y CRL | OCSP y CRL | OCSP y CRL |
Verificación de certificados de firma de código | CRL | CRL | OCSP en primer lugar; se utilizará una CRL si el OCSP no está disponible | OCSP en primer lugar; se utilizará una CRL si el OCSP no está disponible | OCSP en primer lugar; se utilizará una CRL si el OCSP no está disponible |
Acceder a servicios de CRL y OCSP
Las CRL y el OCSP utilizan HTTP para recuperar información de los siguientes servidores. Si eres un administrador de redes en tu empresa, cerciórate de que todas las computadoras en la red en las que pudiera existir un certificado digital que hayamos emitido nosotros, puedan acceder a estos servicios de CRL y OCSP.
Servicio | Nombres de host DNS | IPs de destino | Puerto |
---|---|---|---|
CRL | crl.godaddy.com certificates.godaddy.com crl.starfieldtech.com certificates.starfieldtech.com |
72.167.18.237 72.167.18.238 72.167.239.237 72.167.239.238 188.121.36.237 188.121.36.238 182.50.136.237 182.50.136.238 50.63.243.228 50.63.243.229 |
tcp/80 |
OCSP | ocsp.godaddy.com ocsp.starfieldtech.com |
72.167.18.239 72.167.239.239 188.121.36.239 182.50.136.239 50.63.243.230 |
tcp/80 |
Esta tabla está sujeta a cambios con el transcurso del tiempo a medida que ampliemos nuestros servicios.