¿Cómo entregan las CA los comprobantes de los registros de CT?
Desde el 1 de enero de 2015, todas las principales autoridades de certificación (CA) deben disponer de funciones de creación de registros de Certificate Transparency (CT) para los certificados SSL con EV. Desde el 1 de mayo de 2018, todas las principales autoridades de certificación (CA) deben disponer de funciones de creación de registros de Certificate Transparency (CT) para certificados SSL/TLS con DV y OV.
Sin embargo, el mecanismo utilizado para entregar los comprobantes puede variar de una CA a otra. DigiCert admite actualmente los tres métodos para entregar las SCT. De manera predeterminada, DigiCert incluirá las SCT de los dos registros de Google y del registro de DigiCert. La inclusión de SCT es la forma más sencilla de facilitar pruebas porque no precisa ninguna acción por parte de los operadores de los servidores. Los clientes interesados en utilizar una extensión TLS o el grapado de OCSP deben ponerse en contacto con nosotros para obtener más información sobre los cambios que podrían ser necesarios en su servidor.
¿Qué métodos se utilizan para entregar las SCT?
Las CA pueden registrar certificados en cualquier registro de confianza en el que se incluya su raíz. Los registros procesan las solicitudes de inclusión y responden con una marca de tiempo de certificado firmada (SCT). La SCT funciona como un recibo que indica que el certificado se añadirá al registro en un plazo determinado (lo que se conoce como «retraso máximo de fusión» o MMD). Esto garantiza que el certificado se añada al registro en un plazo determinado, pero no ralentiza la emisión ni impide el uso del certificado. No se permiten MMD de más de 24 horas, por lo que todos los certificados recién emitidos y registrados aparecerán en un registro en las 24 horas siguientes a la generación de la SCT.
La SCT se incluye con el certificado durante toda la vida útil de este y forma parte del proceso de handshake (saludo inicial) de TLS. Este proceso evalúa las SCT para garantizar que provengan de un registro de CT aprobado.
CT admite tres métodos para entregar una SCT con el certificado
Inclusión en el certificado
Las CA pueden vincular la SCT con un certificado incorporando los comprobantes de SCT directamente en las extensiones del certificado. Antes de la emisión, la CA envía un precertificado al registro y este devuelve la SCT. La CA incluye las SCT devueltas en el certificado emitido como una extensión del certificado antes de que lo firme el intermediario correspondiente.
Este método no requiere ninguna modificación del servidor ni ninguna acción por parte del operador del servidor. No obstante, sí es necesario que la CA obtenga las SCT antes de emitir el certificado.
Extensión de TLS
Los operadores de servidores pueden entregar las SCT fuera del certificado en sí utilizando una extensión de TLS especial. Una vez que la CA emite el certificado, el operador del servidor lo envía al registro. El registro envía la SCT al operador del servidor, y el servidor utiliza la extensión de TLS para entregar la SCT durante el proceso de handshake.
Este método reduce el tamaño del certificado y no requiere ninguna acción por parte de la CA.
Grapado de OCSP
Los operadores de los servidores también pueden entregar las SCT utilizando el grapado del protocolo de estado de certificados en línea (OCSP). Con el grapado de OCSP, la CA emite el certificado tanto para el servidor de registro como para el operador del servidor. La CA devuelve la SCT al operador del servidor como parte de la solicitud del servidor de la respuesta OCSP. Esta respuesta, que incluye la SCT como extensión, la proporciona el servidor a los clientes durante el proceso de handshake de TLS.
Este método requiere que la CA envíe el certificado al registro durante la emisión, pero permite a la CA entregar el certificado antes de recibir la SCT. También requiere que el operador del servidor habilite el grapado de OCSP en el servidor.