none
Validacion de certificado Digital RRS feed

  • Pregunta

  • Buenas tardes

    Actualmente tengo el siguiente escenario (Pruebas): Una Enterprise Root CA instalada en un controlador de dominio (NO se tine Subordinada), en dicha CA se firmo un certificado para un sitio web, en un servidor Windows 2012R2 se instalo IIS y en el cual corre el sitio web.

    Estoy reproduciendo el escenario si el servidor con la CA se dañara cual seria el impacto o mensaje que experimentaran los usuarios; simulando que la recuperacion del servidor tomada 15 dias o mas.

    Para dicho escenario lo que realice es que apague servidor que tiene la CA y veo que el sitio aun carga y NO se observa ningun error o advertencia en el certificado.

    Alguien me puede explicar el porque ocurre esto sabiendo que la CA esta apagada o cuanto tiempo tendria que pasar para que se presentara algun error o alerta.

    La verdad no tengo mucho conocimiento en PKI y apenas estoy metiendome en estos temas

    Gracias


    Juan David Puerta

    jueves, 10 de noviembre de 2016 1:47

Respuestas

  • Además de lo que correctamente comenta Pedro_A hay dos cosas a tener en cuenta:

    - Una CA tienes que tener la seguridad de poder recuperarla, y que no sea vulnerada. En cualquier caso los problemas pueden ser graves, porque los certificados serán considerados válidos, hasta que expiren

    - Dependiendo del la versión del sistema operativo y la aplicación, periódicamente el cliente debe poder acceder a la CRL ("Certificate Revocation List"), en la mayoría de los casos actuales, si no puede acceder para ver si el certificado no fue revocado, lo considerará como no válido. En general el período de verificación es 7 días, pero depende de varios factores

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta JUPUERTA jueves, 10 de noviembre de 2016 12:26
    jueves, 10 de noviembre de 2016 9:54

Todas las respuestas

  • Hola,

    Te voy a contestar con los conocimientos que tengo de certificados, puede que me equivoque pero creo que este es el motivo.

    Los clientes ven el site y certificado como confiable porque tienen en "Entidades certificacion raiz de confianza" tu CA interna.Para comprobar esto abre una MMC y agregar el complemento certificados y mira en la ruta "Entidades certificacion raiz de confianza".

    Aunque tu apagues la CA, siguen viendo el certificado como confiable por este motivo.

    Puededs hacer la prueba de instalar un PC nuevo con la CA apagada, en este caso si es posible que no pueda comprobar la autenticidad del certificado y te aparezca como no confiable.

    Prueba y nos cuentas.

    Saludos



    • Editado Pedro_A jueves, 10 de noviembre de 2016 9:25
    jueves, 10 de noviembre de 2016 9:24
  • Además de lo que correctamente comenta Pedro_A hay dos cosas a tener en cuenta:

    - Una CA tienes que tener la seguridad de poder recuperarla, y que no sea vulnerada. En cualquier caso los problemas pueden ser graves, porque los certificados serán considerados válidos, hasta que expiren

    - Dependiendo del la versión del sistema operativo y la aplicación, periódicamente el cliente debe poder acceder a la CRL ("Certificate Revocation List"), en la mayoría de los casos actuales, si no puede acceder para ver si el certificado no fue revocado, lo considerará como no válido. En general el período de verificación es 7 días, pero depende de varios factores

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta JUPUERTA jueves, 10 de noviembre de 2016 12:26
    jueves, 10 de noviembre de 2016 9:54