OCSP
Protocolo que permite al navegador preguntar en tiempo real si un certificado SSL sigue siendo válido o ha sido revocado.
Qué es OCSP
OCSP es el mecanismo que comprueba el estado de revocación de un certificado: cuando una clave se ve comprometida o un certificado se anula antes de caducar, la autoridad lo marca como revocado, y OCSP permite consultarlo al instante en lugar de descargar largas listas (las antiguas CRL).
Cómo funciona
Al conectarte a una web HTTPS, el navegador puede enviar una consulta OCSP a la autoridad certificadora: "¿este certificado concreto está revocado?". La CA responde "válido", "revocado" o "desconocido". Para no depender de esa consulta extra (lenta y con implicaciones de privacidad), existe "OCSP stapling": el propio servidor adjunta una respuesta OCSP reciente y firmada en el handshake.
Cómo protegerte
Es maquinaria interna de TLS; como usuario solo te interesa saber que el ecosistema intenta detectar certificados comprometidos. Mantén el navegador actualizado: las políticas de comprobación de revocación cambian y los navegadores modernos usan listas propias agregadas (CRLSets, CRLite) además de OCSP.
Datos curiosos
- Sustituyó en buena parte a las CRL (Certificate Revocation Lists), que eran pesadas de descargar.
- OCSP "must-staple" es una opción que obliga al servidor a incluir siempre una respuesta válida o el navegador rechaza la conexión.
- Algunas CA están migrando hacia esquemas que reducen la dependencia del OCSP en tiempo real por motivos de privacidad y rendimiento.
Preguntas frecuentes
¿Para qué sirve revocar un certificado?
Para invalidarlo antes de su caducidad si la clave privada se filtra o se emitió por error. OCSP comunica ese estado.
¿Qué es el OCSP stapling?
El servidor adjunta él mismo la prueba de validez al conectar, así el navegador no tiene que preguntar a la CA por separado.
¿Me afecta la privacidad?
Una consulta OCSP clásica revela a la CA qué sitio visitas. Por eso se prefiere el stapling y las listas locales.