fbpx
Wikipedia

Server-based Certificate Validation Protocol

Agosto 16, 2021

El Protocolo de validación de certificados basado en servidor, también conocido por las sigals SCVP ( de inglés Server-based Certificate Validation Protocol), es un protocolo de Internet para determinar la ruta entre un certificado digital X.509 y una raíz de confianza (Delegated Path Discovery) y la validación de dicha ruta (validación de ruta delegada) de acuerdo con una política de validación particular .

SCVP fue propuesto en 1999 y publicado en 2007 por el IETF, por el grupo de trabajo PKIX, en el RFC 5055.[1]​ SCVP permite a los clientes PKI delegar los procesos de construcción, descubrimiento y validación de trayectorias de certificación cuando intervienen varias PKI. Además facilita la administración de políticas de validación de certificados en un servidor. La validación de certificados digitales es muy compleja en el contexto PKI sobre todo cuando hay una gran cantidad de aplicaciones y ambientes que requieren manejar certificados digitales, el servidor dedicado SCVP mitiga la sobrecarga que implica para el cliente el descubrimiento, la construcción o validación de trayectorias de certificación.

Utilidad

El SCVP es útil para dos clases de aplicaciones que usan certificados:

  • Aplicaciones que requieren de una confirmación de que la clave pública pertenece a la entidad nombrada en el certificado digital, así como la confirmación de que la llave pública puede ser usada para el propósito requerido. En este caso los clientes de esa aplicación pueden delegar completamente a un servidor SCVP, la construcción de la trayectoria de certificación y su validación. A esto se le llama Validación de Trayectoria Delegada (DPV, Delegated Path Validation).
  • Aplicaciones que pueden realizar la validación de la trayectoria de certificación, pero carecen de un método fiable y eficiente para construir una trayectoria válida de certificación. Los clientes de este tipo de aplicación delegan a un servidor SCVP la construcción de trayectorias de certificación válidas, pero no validan la trayectoria de certificación proporcionada por el servidor SCVP. A esto se le denomina Descubrimiento de Trayectoria Delegada (DPD, Delegated Path Discovery).

El objetivo de SCVP es hacer más fácil el despliegue de PKI permitiendo a las aplicaciones delegar en un servidor el proceso del descubrimiento y/o validación de trayectorias y permitir la administración centralizada de políticas de validación en una organización para ser aplicadas consistentemente. SCVP pueden usarlo clientes PKI que hagan gran parte del procesamiento del certificado, pero simplemente buscan que un servidor dedicado obtenga la información necesaria para ellos. Los servidores SCVP, además de proporcionar a los clientes las trayectorias de certificación, también pueden ofrecer la información para la revocación de certificados, como por ejemplo, las Listas de Revocación de Certificados (CRL, Certificate Revocation List) y las respuestas del Protocolo del Estado de Certificados en Línea (OCSP, Online Certificate Status Protocol) que necesitan los clientes para validar las trayectorias de certificación construidas por el servidor SCVP. Estos servicios pueden ser valiosos para los clientes que no tienen implementados los protocolos necesarios para encontrar los certificados intermedios, CRLs y respuestas OCSP.[2]

Confianza

La confianza que pueden tener los clientes en el servidor SCVP se da por dos razones:

  • El cliente no cuenta con el software necesario para la validación de rutas de certificación de los certificados que recibe.
  • El cliente es una organización o comunidad que quiere centralizar las políticas de validación en un servidor dedicado. Estas políticas pueden dictar anclas de confianza particulares y ser usadas en las políticas de verificación que se hayan cumplido durante la validación de trayectorias de certificación.

SCVP usa el modelo simple de petición-respuesta. El cliente SCVP crea una solicitud y la envía al servidor SCVP, entonces el servidor SCVP crea una respuesta única y la envía al cliente. Este intercambio de mensajes se puede dar por medio de HTTP, pero también puede ser mediante el correo electrónico o por cualquier otro protocolo que transporte objetos firmados digitalmente.

La arquitectura de SCVP incluye dos tipos de petición- respuesta. En el primero se maneja la validación de certificados. Mientras que el segundo se usa para determinar la lista de políticas de validación y parámetros de defecto soportados por el servidor SCVP.

Las políticas especifican las reglas y parámetros que usa SCVP para validar certificados, ya sea que en la solicitud del cliente haga referencia de ellas por medio de parámetros o sin ellos. En cualquier caso la definición de las políticas implica la especificación del algoritmo que será usado asociado a los parámetros de la política de validación.

El algoritmo de validación es uno de los parámetros de la política de validación. El algoritmo de validación básico está definido en PKIX, este permite al cliente solicitar información adicional acerca de los certificados acerca de los certificados a ser validados. Los algoritmos de validación sirven como guía para el desarrollo de nuevos algoritmos de validación específicos para ciertas aplicaciones. Por ejemplo una aplicación pudiera requerir la presencia de un formato específico para el nombre del sujeto u organización en el certificado digital.

Existen dos tipos de solicitud de validación: Protegida y no protegida.

La protegida se usa para autenticar al cliente con el servidor o para proporcionar el anonimato del cliente sobre la solicitud-respuesta.

La protección se da mediante una firma digital o un código de mensaje de autenticación (MAC). En el último de los casos, la llave MAC se deriva usando un algoritmo de establecimiento de la llave como el algoritmo Diffie Hellman. Si la llave pública del cliente está contenida en un certificado, entonces esta puede usarse para autenticar al cliente. Comúnmente, esta llave será efímera, para dar soporte a un cliente anónimo.

Un servidor puede requerir protección para todas las solicitudes, y puede descartar todas las solicitudes no protegidas. Pero también el servidor puede elegir si procesa las solicitudes no protegidas.

Las solicitudes no protegidas son peticiones de validación de certificado encapsuladas en mensajes CMS (Cryptographic Message Syntax) [RFC 5940[3]​]

Durante el procesamiento de ruta de certificación, el servidor SCVP puede encontrar una gran porción de objetos PKI generados por una PKI en particular. Estos objetos se almacenan, aun cuando no se realice ninguna consulta del cliente, durante largos periodos de tiempo con la finalidad de atender futuras peticiones en cualquier momento.

El SCVP permite a los clientes solicitar tanta información como sea necesaria, ya sea que se trate de certificados de la entidad final, trayectorias de certificación que contengan un certificado de la entidad final hasta un ancla de confianza, trayectorias de certificación que contengan un certificado de la entidad intermedia hasta un ancla de confianza, o Información de revocación.

Las respuestas del servidor proporcionan las evidencias registradas para:

  • Una ruta de certificación completa.
  • Una ruta de certificación parcial.
  • Un certificado público.
  • Información de revocación.
  • Cualquier respuesta.

Bibliografía

  • Adams C. and Lloyd S. Understanding PKI, 2nd Edition. Addison Wesley. PP. 146-149.

Referencias

  1. RFC 5055
  2. RFC 2560
  3. RFC 5940

Enlaces externos

  • Prestadores de Servicios de Certificación
  •   Datos: Q1431187

Agosto 16, 2021
server, based, certificate, validation, protocol, protocolo, validación, certificados, basado, servidor, también, conocido, sigals, scvp, inglés, protocolo, internet, para, determinar, ruta, entre, certificado, digital, raíz, confianza, delegated, path, discov. El Protocolo de validacion de certificados basado en servidor tambien conocido por las sigals SCVP de ingles Server based Certificate Validation Protocol es un protocolo de Internet para determinar la ruta entre un certificado digital X 509 y una raiz de confianza Delegated Path Discovery y la validacion de dicha ruta validacion de ruta delegada de acuerdo con una politica de validacion particular SCVP fue propuesto en 1999 y publicado en 2007 por el IETF por el grupo de trabajo PKIX en el RFC 5055 1 SCVP permite a los clientes PKI delegar los procesos de construccion descubrimiento y validacion de trayectorias de certificacion cuando intervienen varias PKI Ademas facilita la administracion de politicas de validacion de certificados en un servidor La validacion de certificados digitales es muy compleja en el contexto PKI sobre todo cuando hay una gran cantidad de aplicaciones y ambientes que requieren manejar certificados digitales el servidor dedicado SCVP mitiga la sobrecarga que implica para el cliente el descubrimiento la construccion o validacion de trayectorias de certificacion Indice 1 Utilidad 2 Confianza 3 Bibliografia 4 Referencias 5 Enlaces externosUtilidad EditarEl SCVP es util para dos clases de aplicaciones que usan certificados Aplicaciones que requieren de una confirmacion de que la clave publica pertenece a la entidad nombrada en el certificado digital asi como la confirmacion de que la llave publica puede ser usada para el proposito requerido En este caso los clientes de esa aplicacion pueden delegar completamente a un servidor SCVP la construccion de la trayectoria de certificacion y su validacion A esto se le llama Validacion de Trayectoria Delegada DPV Delegated Path Validation Aplicaciones que pueden realizar la validacion de la trayectoria de certificacion pero carecen de un metodo fiable y eficiente para construir una trayectoria valida de certificacion Los clientes de este tipo de aplicacion delegan a un servidor SCVP la construccion de trayectorias de certificacion validas pero no validan la trayectoria de certificacion proporcionada por el servidor SCVP A esto se le denomina Descubrimiento de Trayectoria Delegada DPD Delegated Path Discovery El objetivo de SCVP es hacer mas facil el despliegue de PKI permitiendo a las aplicaciones delegar en un servidor el proceso del descubrimiento y o validacion de trayectorias y permitir la administracion centralizada de politicas de validacion en una organizacion para ser aplicadas consistentemente SCVP pueden usarlo clientes PKI que hagan gran parte del procesamiento del certificado pero simplemente buscan que un servidor dedicado obtenga la informacion necesaria para ellos Los servidores SCVP ademas de proporcionar a los clientes las trayectorias de certificacion tambien pueden ofrecer la informacion para la revocacion de certificados como por ejemplo las Listas de Revocacion de Certificados CRL Certificate Revocation List y las respuestas del Protocolo del Estado de Certificados en Linea OCSP Online Certificate Status Protocol que necesitan los clientes para validar las trayectorias de certificacion construidas por el servidor SCVP Estos servicios pueden ser valiosos para los clientes que no tienen implementados los protocolos necesarios para encontrar los certificados intermedios CRLs y respuestas OCSP 2 Confianza EditarLa confianza que pueden tener los clientes en el servidor SCVP se da por dos razones El cliente no cuenta con el software necesario para la validacion de rutas de certificacion de los certificados que recibe El cliente es una organizacion o comunidad que quiere centralizar las politicas de validacion en un servidor dedicado Estas politicas pueden dictar anclas de confianza particulares y ser usadas en las politicas de verificacion que se hayan cumplido durante la validacion de trayectorias de certificacion SCVP usa el modelo simple de peticion respuesta El cliente SCVP crea una solicitud y la envia al servidor SCVP entonces el servidor SCVP crea una respuesta unica y la envia al cliente Este intercambio de mensajes se puede dar por medio de HTTP pero tambien puede ser mediante el correo electronico o por cualquier otro protocolo que transporte objetos firmados digitalmente La arquitectura de SCVP incluye dos tipos de peticion respuesta En el primero se maneja la validacion de certificados Mientras que el segundo se usa para determinar la lista de politicas de validacion y parametros de defecto soportados por el servidor SCVP Las politicas especifican las reglas y parametros que usa SCVP para validar certificados ya sea que en la solicitud del cliente haga referencia de ellas por medio de parametros o sin ellos En cualquier caso la definicion de las politicas implica la especificacion del algoritmo que sera usado asociado a los parametros de la politica de validacion El algoritmo de validacion es uno de los parametros de la politica de validacion El algoritmo de validacion basico esta definido en PKIX este permite al cliente solicitar informacion adicional acerca de los certificados acerca de los certificados a ser validados Los algoritmos de validacion sirven como guia para el desarrollo de nuevos algoritmos de validacion especificos para ciertas aplicaciones Por ejemplo una aplicacion pudiera requerir la presencia de un formato especifico para el nombre del sujeto u organizacion en el certificado digital Existen dos tipos de solicitud de validacion Protegida y no protegida La protegida se usa para autenticar al cliente con el servidor o para proporcionar el anonimato del cliente sobre la solicitud respuesta La proteccion se da mediante una firma digital o un codigo de mensaje de autenticacion MAC En el ultimo de los casos la llave MAC se deriva usando un algoritmo de establecimiento de la llave como el algoritmo Diffie Hellman Si la llave publica del cliente esta contenida en un certificado entonces esta puede usarse para autenticar al cliente Comunmente esta llave sera efimera para dar soporte a un cliente anonimo Un servidor puede requerir proteccion para todas las solicitudes y puede descartar todas las solicitudes no protegidas Pero tambien el servidor puede elegir si procesa las solicitudes no protegidas Las solicitudes no protegidas son peticiones de validacion de certificado encapsuladas en mensajes CMS Cryptographic Message Syntax RFC 5940 3 Durante el procesamiento de ruta de certificacion el servidor SCVP puede encontrar una gran porcion de objetos PKI generados por una PKI en particular Estos objetos se almacenan aun cuando no se realice ninguna consulta del cliente durante largos periodos de tiempo con la finalidad de atender futuras peticiones en cualquier momento El SCVP permite a los clientes solicitar tanta informacion como sea necesaria ya sea que se trate de certificados de la entidad final trayectorias de certificacion que contengan un certificado de la entidad final hasta un ancla de confianza trayectorias de certificacion que contengan un certificado de la entidad intermedia hasta un ancla de confianza o Informacion de revocacion Las respuestas del servidor proporcionan las evidencias registradas para Una ruta de certificacion completa Una ruta de certificacion parcial Un certificado publico Informacion de revocacion Cualquier respuesta Bibliografia EditarAdams C and Lloyd S Understanding PKI 2nd Edition Addison Wesley PP 146 149 Referencias Editar RFC 5055 RFC 2560 RFC 5940Enlaces externos EditarInteroperability Based on Online Certificate Validation Prestadores de Servicios de Certificacion Datos Q1431187Obtenido de https es wikipedia org w index php title Server based Certificate Validation Protocol amp oldid 127731769, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos