Consulta en línea de Estado de Certificados OCSP Consulta en línea de Estado de Certificados OCSP

Validación en línea de estado de Certificados

La VA permite determinar de forma online el estado actual de cualquier certificado emitido por la CA Subordinada, a través del protocolo OCSP, conforme al estándar [RFC2560], evitando así consultar la última CRL emitida por la CA Subordinada.
Las respuestas OCSP están firmadas con la clave privada correspondiente al certificado de firma de respuestas OCSP de la VA

Servicio OCSP

El servicio OCSP de los equipos de la VA procesa las peticiones OCSP enviadas, sobre HTTP, por las aplicaciones y los servicios que consultan por OCSP el estado de revocación de certificados emitidos por la CA Subordinada (por ejemplo, para verificar firmas o para incorporar las respuestas OCSP en firmas), enviando las correspondientes respuestas OCSP que contienen los correspodientes estados de revocación de los certificados solicitados, conforme al estándar [RFC2560].
Las respuestas OCSP están firmadas con la clave privada correspondiente al certificado de firma de respuestas OCSP de la VA

URI de acceso al servicio OCSP

La URI HTTP de acceso al servicio OCSP  será igual al valor siguiente:
http://ocsp.icert.fje.gob.ec

Validación OCSP mediante openssl

El siguiente es un comando de ejemplo ejecutado utilizando openssl, aqui se muestra como validar un certificado por línea de comandos:

openssl ocsp -issuer cj-subca-prod.pem -cert usuarioICERT.pem -url http://ocsp.icert.fje.gob.ec

en donde:

cj-subca-prod.pem es el certificado en formato PEM de la CA subordinada

usuarioICERT.pem es el certificado del usuario final que queremos validar

otro ejemplo:

openssl ocsp -issuer cj-subca-prod.pem -serial 0X4E4042832295322C -url http://ocsp.icert.fje.gob.ec -text

en donde:

cj-subca-prod.pem es el certificado en formato PEM de la CA subordinada

0X4E4042832295322C es el número de serie del certificado del usuario final

Este último ejemplo nos mostrará con mayor detalle la información de los certificados que estamos validando, en cualquiera de los dos casos se presentará una línea similar a la siguiente donde se encuentrá el estado de los certificados

Cert Status: unknown cuando el servidor OCSP no conoce sobre el certificado que estamos consultando

Cert Status: good respueta certificado válido

Cert Status: revoke respuesta certificado revocado