La autenticación basada en certificados verifica la autenticidad del certificado –identidad, periodo de validez, autoridad de certificación emisora y estado de revocación– con una autoridad de validación para garantizar que el certificado es de confianza. El certificado se valida cuando es capaz de demostrar su identidad.
Revocación de la validez del certificado para preservar la seguridad de la IoT
Los periodos de validez o ciclos de vida de los certificados de la IoT prevén el uso del certificado durante este periodo. Sin embargo, en ocasiones es necesario revocar un certificado antes de la fecha de vencimiento estipulada por diversas razones, como:
- la retirada de un dispositivo antes del vencimiento del certificado;
- un cambio en el nombre de la empresa o la línea de producto;
- el robo o la pérdida de una clave privada, lo que compromete la seguridad.
Implantación de método de autenticación CRL u OCSP para garantizar la validez del certificado
Cuando es necesario revocar un certificado, la Autoridad de Validación de la IoT de GlobalSign revoca la vigencia del certificado, bien añadiéndolo a una lista de revocación de certificados (CRL), bien sumándolo al Protocolo de Estado de Certificado Online (OCSP).
Una CRL es un registro regularmente actualizado de todos los certificados digitales que han sido revocados por la Autoridad de Certificación (AC) emisora, y su función es similar a la de una lista negra. El servidor de listas de GlobalSign recibe solicitudes GET y devuelve la lista de todos los certificados revocados. Si el certificado en cuestión aparece en la CRL, no es posible autenticarlo y no debe confiarse en él.
El OCSP es un método más dinámico de validación de certificados y determina el estado actual de un certificado digital sin requerir una CRL. Las aplicaciones o los clientes OCSP realizan llamadas al servidor OCSP gestionado de GlobalSign, y este comprueba y verifica los datos del certificado para responder inmediatamente con la confirmación o denegación de la autenticación del certificado.