Configuración del certificado de servidor para el grapado OCSP - AWS IoT Core
¿Qué es el OCSP?Cómo funciona el grapado OCSPHabilitar el grapado OCSP del certificado de servidor AWS IoT CoreNotas importantes sobre el uso del certificado de servidor (OCSP): grapado AWS IoT CoreSolución de problemas de grapado OCSP del certificado de servidor AWS IoT Core

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del certificado de servidor para el grapado OCSP

AWS IoT Core admite el grapado OCSP (Online Certificate Status Protocol) para certificados de servidor, también conocido como grapado OCSP de certificado de servidor o grapado OCSP. Es un mecanismo de seguridad que se utiliza para comprobar el estado de revocación del certificado del servidor mediante un protocolo de enlace de Transport Layer Security (TLS). El engrapado OCSP AWS IoT Core le permite añadir una capa adicional de verificación a la validez del certificado de servidor de su dominio personalizado.

Puede habilitar el grapado OCSP del certificado de servidor AWS IoT Core para comprobar la validez del certificado consultando periódicamente al respondedor OCSP. La configuración de grapado OCSP forma parte del proceso de creación o actualización de una configuración de dominio con un dominio personalizado. El grapado OCSP comprueba continuamente el estado de revocación en el certificado del servidor. Esto ayuda a comprobar que los clientes que se conectan a sus dominios personalizados ya no confían en los certificados que hayan sido revocados por la CA. Para obtener más información, consulte Habilitar el grapado OCSP del certificado de servidor AWS IoT Core.

El grapado OCSP de los certificados de servidor permite comprobar el estado de la revocación en tiempo real, reduce la latencia asociada a la comprobación del estado de la revocación y mejora la privacidad y la fiabilidad de las conexiones seguras. Para obtener más información sobre las ventajas del uso del grapado OCSP, consulte. Ventajas de utilizar el grapado OCSP en comparación con las comprobaciones OCSP del lado del cliente

nota

Esta función no está disponible en. AWS GovCloud (US) Regions

¿Qué es el OCSP?

Conceptos clave

Los siguientes conceptos proporcionan detalles sobre el OCSP y los conceptos relacionados.

OCSP

El OCSP se utiliza para comprobar el estado de revocación del certificado durante el protocolo de protocolo de seguridad de la capa de transporte (TLS). El OCSP permite la validación de los certificados en tiempo real. Esto confirma que el certificado no se ha revocado ni ha caducado desde que se emitió. El OCSP también es más escalable en comparación con las listas de revocación de certificados (CRL) tradicionales. Las respuestas de OCSP son más pequeñas y se pueden generar de manera eficiente, lo que las hace más adecuadas para infraestructuras de clave privada (PKI) a gran escala.

Respondedor OCSP

Un respondedor OCSP (también conocido como servidor OCSP) recibe y responde a las solicitudes OCSP de los clientes que desean verificar el estado de revocación de los certificados.

OCSP del lado del cliente

En el OCSP del lado del cliente, el cliente utiliza el OCSP para ponerse en contacto con un respondedor de OCSP y comprobar el estado de revocación del certificado durante el protocolo de protocolo de seguridad de la capa de transporte (TLS).

OCSP del lado del servidor

En el OCSP del lado del servidor (también conocido como grapado de OCSP), el servidor está habilitado (y no el cliente) para realizar la solicitud al respondedor de OCSP. El servidor grapa la respuesta de OCSP al certificado y la devuelve al cliente durante el protocolo de enlace TLS.

Diagramas OCSP

El siguiente diagrama ilustra cómo funcionan el OCSP del lado del cliente y el OCSP del lado del servidor.

Diagramas de OCSP del lado del cliente y OCSP del lado del servidor
OCSP del lado del cliente

  1. El cliente envía un ClientHello mensaje para iniciar el protocolo de enlace TLS con el servidor.

  2. El servidor recibe el mensaje y responde con un ServerHello mensaje. El servidor también envía el certificado del servidor al cliente.

  3. El cliente valida el certificado del servidor y extrae un URI de OCSP del mismo.

  4. El cliente envía una solicitud de verificación de revocación del certificado al respondedor OCSP.

  5. El respondedor OCSP envía una respuesta OCSP.

  6. El cliente valida el estado del certificado a partir de la respuesta del OCSP.

  7. Se ha completado el protocolo de enlace TLS.

OCSP del lado del servidor

  1. El cliente envía un ClientHello mensaje para iniciar el protocolo de enlace TLS con el servidor.

  2. El servidor recibe el mensaje y obtiene la última respuesta de OCSP almacenada en caché. Si falta la respuesta en caché o ha caducado, el servidor llamará al respondedor OCSP para obtener el estado del certificado.

  3. El respondedor OCSP envía una respuesta OCSP al servidor.

  4. El servidor envía un ServerHello mensaje. El servidor también envía el certificado del servidor y el estado del certificado al cliente.

  5. El cliente valida el estado del certificado OCSP.

  6. Se ha completado el protocolo de enlace TLS.

Cómo funciona el grapado OCSP

El grapado OCSP se utiliza durante el protocolo de enlace de Transport Layer Security (TLS) entre el cliente y el servidor para comprobar el estado de revocación del certificado del servidor. El servidor realiza la solicitud de OCSP al respondedor de OCSP y grapa las respuestas de OCSP a los certificados devueltos al cliente. Al hacer que el servidor haga la solicitud al respondedor OCSP, las respuestas se pueden almacenar en caché y, a continuación, se pueden utilizar varias veces para muchos clientes.

Cómo funciona el grapado OCSP en AWS IoT Core

El siguiente diagrama muestra cómo funciona el grapado OCSP del lado del servidor. AWS IoT Core

Este diagrama muestra cómo funciona el grapado OCSP del lado del servidor. AWS IoT Core

  1. El dispositivo debe estar registrado en dominios personalizados con el grapado OCSP activado.

  2. AWS IoT Core llama al respondedor OCSP cada hora para obtener el estado del certificado.

  3. El respondedor de OCSP recibe la solicitud, envía la última respuesta de OCSP y almacena la respuesta de OCSP en caché.

  4. El dispositivo envía un ClientHello mensaje para iniciar el protocolo de enlace TLS. AWS IoT Core

  5. AWS IoT Core obtiene la última respuesta de OCSP de la memoria caché del servidor, que responde con una respuesta de OCSP del certificado.

  6. El servidor envía un ServerHello mensaje al dispositivo. El servidor también envía el certificado del servidor y el estado del certificado al cliente.

  7. El dispositivo valida el estado del certificado OCSP.

  8. Se ha completado el protocolo de enlace TLS.

Ventajas de utilizar el grapado OCSP en comparación con las comprobaciones OCSP del lado del cliente

A continuación se resumen algunas de las ventajas de utilizar el grapado OCSP de certificados de servidor:

Privacidad mejorada

Sin el cifrado OCSP, el dispositivo del cliente puede exponer la información a los respondedores OCSP de terceros, lo que podría comprometer la privacidad del usuario. El grapado OCSP mitiga este problema al hacer que el servidor obtenga la respuesta OCSP y la entregue directamente al cliente.

Fiabilidad mejorada

El grapado OCSP puede mejorar la confiabilidad de las conexiones seguras porque reduce el riesgo de interrupciones del servidor OCSP. Cuando se grapan las respuestas de OCSP, el servidor incluye la respuesta más reciente con el certificado. Esto permite a los clientes acceder al estado de revocación incluso si el respondedor OCSP no está disponible temporalmente. El grapado de OCSP ayuda a mitigar estos problemas, ya que el servidor recupera las respuestas de OCSP de forma periódica e incluye las respuestas en caché en el protocolo de enlace de TLS, lo que reduce la dependencia de la disponibilidad en tiempo real de los respondedores de OCSP.

Carga reducida del servidor

El grapado de OCSP reduce la carga de responder a las solicitudes de OCSP de los respondedores de OCSP al servidor. Esto puede ayudar a distribuir la carga de manera más uniforme, lo que hace que el proceso de validación del certificado sea más eficiente y escalable.

Latencia reducida

El grapado OCSP reduce la latencia asociada a la comprobación del estado de revocación de un certificado durante el protocolo de enlace TLS. En lugar de que el cliente tenga que consultar un servidor OCSP por separado, el servidor envía la solicitud y adjunta la respuesta del OCSP al certificado del servidor durante el protocolo de enlace.

Habilitar el grapado OCSP del certificado de servidor AWS IoT Core

Para habilitar el grapado OCSP del certificado de servidor AWS IoT Core, debe crear una configuración de dominio para un dominio personalizado o actualizar una configuración de dominio personalizada existente. Para obtener información general sobre cómo crear una configuración de dominio con un dominio personalizado, consulte. Creación y configuración de dominios personalizados

Siga las instrucciones siguientes para habilitar el grapado del servidor OCSP mediante AWS Management Console o. AWS CLI

Para habilitar el grapado OCSP de certificados de servidor mediante la consola: AWS IoT

  1. Seleccione Configuración en el menú de navegación izquierdo y, a continuación, seleccione Crear configuración de dominio o una configuración de dominio existente para un dominio personalizado.

  2. Si optas por crear una nueva configuración de dominio en el paso anterior, verás la página Crear configuración de dominio. En la sección Propiedades de configuración del dominio, selecciona Dominio personalizado. Introduzca la información para crear una configuración de dominio.

    Si decide actualizar una configuración de dominio existente para un dominio personalizado, verá la página de detalles de la configuración del dominio. Elija Editar.

  3. Para habilitar el grapado de servidores OCSP, seleccione Habilitar el grapado OCSP de certificados de servidor en la subsección de configuraciones de certificados de servidor.

  4. Seleccione Crear configuración de dominio o Actualizar configuración de dominio.

Para habilitar el grapado OCSP de certificados de servidor mediante: AWS CLI

  1. Si crea una nueva configuración de dominio para un dominio personalizado, el comando para habilitar el grapado del servidor OCSP puede tener el siguiente aspecto:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Si actualiza una configuración de dominio existente para un dominio personalizado, el comando para habilitar el grapado del servidor OCSP puede tener el siguiente aspecto:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Para obtener más información, consulte CreateDomainConfigurationy en la Referencia UpdateDomainConfigurationde la AWS IoT API.

Notas importantes sobre el uso del certificado de servidor (OCSP): grapado AWS IoT Core

Cuando utilice el certificado de servidor OCSP AWS IoT Core, tenga en cuenta lo siguiente:

  1. AWS IoT Core solo admite los respondedores OCSP a los que se puede acceder a través de direcciones IPv4 públicas.

  2. La función de grapado OCSP no admite respondedores autorizados AWS IoT Core . Todas las respuestas del OCSP deben estar firmadas por la CA que firmó el certificado y la CA debe formar parte de la cadena de certificados del dominio personalizado.

  3. La función de engrapado OCSP AWS IoT Core no admite los dominios personalizados que se crean con certificados autofirmados.

  4. AWS IoT Core llama a un respondedor OCSP cada hora y guarda la respuesta en caché. Si se produce un error en la llamada al respondedor, AWS IoT Core grabará la respuesta válida más reciente.

  5. Si ya no nextUpdateTime es válido, AWS IoT Core eliminará la respuesta de la memoria caché y el protocolo de enlace TLS no incluirá los datos de respuesta del OCSP hasta la próxima llamada correcta al respondedor del OCSP. Esto puede ocurrir cuando la respuesta en caché ha caducado antes de que el servidor reciba una respuesta válida del respondedor OCSP. El valor de nextUpdateTime sugiere que la respuesta del OCSP será válida hasta ese momento. Para obtener más información acerca de nextUpdateTime, consulte Entradas de OCSP registro de certificados de servidor.

  6. A veces, AWS IoT Core no recibe la respuesta de OCSP o elimina la respuesta de OCSP existente porque ha caducado. Si se producen situaciones como estas, AWS IoT Core seguirá utilizando el certificado de servidor proporcionado por el dominio personalizado sin la respuesta del OCSP.

  7. El tamaño de la respuesta OCSP no puede superar los 4 KiB.

Solución de problemas de grapado OCSP del certificado de servidor AWS IoT Core

AWS IoT Core Emite la RetrieveOCSPStapleData.Success métrica y las entradas de RetrieveOCSPStapleData registro a. CloudWatch La métrica y las entradas de registro pueden ayudar a detectar problemas relacionados con la recuperación de las respuestas del OCSP. Para obtener más información, consulte Métricas de OCSP grapado de certificados de servidor y Entradas de OCSP registro de certificados de servidor.