[Enciclopedia Online Gratuita] Diccionario de Internet y Tecnologías de la Información y la Comunicación (TIC):

ıllı Server-based Certificate Validation Protocol wiki: info, historia y vídeos

  Server-based Certificate Validation Protocol 

El Protocolo de validación de certificados basado en servidor, asimismo conocido por las sigals SCVP ( de inglés Server-based Certificate Validation Protocol), es un protocolo de Internet para determinar la senda entre un certificado digital X.509 y una raíz de confianza (Delegated Path Discovery) y la validación de dicha senda (validación de senda encargada) conforme con una política de validación particular .

SCVP fue propuesto en mil novecientos noventa y nueve y publicado en dos mil siete por el IETF, por el conjunto de trabajo PKIX, en el RFC cinco mil cincuenta y cinco. SCVP deja a los clientes del servicio PKI delegar los procesos de construcción, descubrimiento y validación de trayectorias de certificación cuando intervienen múltiples PKI. Además de esto facilita la administración de políticas de validación de certificados en un servidor. La validación de certificados digitales es muy compleja en el contexto PKI especialmente cuando hay un sinnúmero de aplicaciones y entornos que requieren manejar certificados digitales, el servidor dedicado SCVP atenúa la sobrecarga que implica para el cliente del servicio el descubrimiento, la construcción o bien validación de trayectorias de certificación.

El SCVP es útil para 2 clases de aplicaciones que utilizan certificados:

• Aplicaciones que precisan de una confirmación de que la clave pública pertenece a la entidad nombrada en el certificado digital, como la confirmación de que la llave pública puede ser utilizada para el propósito requerido. En un caso así los clientes del servicio de esa aplicación pueden delegar totalmente a un servidor SCVP, la construcción de la trayectoria de certificación y su validación. A esto se le llama Validación de Trayectoria Encargada (DPV, Delegated Path Validation).
  
• Aplicaciones que pueden efectuar la validación de la trayectoria de certificación, mas carecen de un procedimiento fiable y eficaz para edificar una trayectoria válida de certificación. Los clientes del servicio de este género de aplicación delegan a un servidor SCVP la construcción de trayectorias de certificación válidas, mas no validan la trayectoria de certificación proporcionada por el servidor SCVP. A esto se le llama Descubrimiento de Trayectoria Encargada (DPD, Delegated Path Discovery).

El objetivo de SCVP es hacer más simple el despliegue de PKI dejando a las aplicaciones delegar en un servidor el proceso del descubrimiento y/o validación de trayectorias y permitir la administración centralizada de políticas de validación en una organización para ser aplicadas consistentemente. SCVP pueden utilizarlo clientes del servicio PKI que hagan una gran parte del procesamiento del certificado, mas sencillamente procuran que un servidor dedicado consiga la información precisa para ellos. Los servidores SCVP, aparte de suministrar a los clientes del servicio las trayectorias de certificación, asimismo pueden ofrecer la información para la revocación de certificados, como por poner un ejemplo, las Listas de Revocación de Certificados (CRL, Certificate Revocation List) y las contestaciones del Protocolo del Estado de Certificados en Línea (OCSP, On-line Certificate Status Protocol) que precisan los clientes del servicio para validar las trayectorias de certificación construidas por el servidor SCVP. Estos servicios pueden ser valiosos para los clientes del servicio que no tienen incorporados los protocolos precisos para hallar los certificados intermedios, CRLs y contestaciones OCSP.

La confianza que pueden tener los clientes del servicio en el servidor SCVP se da por 2 razones:

• El cliente del servicio no cuenta con el software preciso para la validación de sendas de certificación de los certificados que recibe.
  
• El cliente del servicio es una organización o bien comunidad que desea centralizar las políticas de validación en un servidor dedicado. Estas políticas pueden dictar anclas de confianza particulares y ser utilizadas en las políticas de verificación que se hayan cumplido a lo largo de la validación de trayectorias de certificación.

SCVP emplea el modelo simple de solicitud-contestación. El cliente del servicio SCVP crea una petición y la manda al servidor SCVP, entonces el servidor SCVP crea una contestación única y la manda al cliente del servicio. Este intercambio de mensajes se puede dar a través de HTTP, mas asimismo puede ser a través de el correo o bien por cualquier otro protocolo que transporte objetos firmados digitalmente.

La arquitectura de SCVP incluye 2 géneros de solicitud- contestación. En el primero se maneja la validación de certificados. Al tiempo que el segundo se emplea para determinar la lista de políticas de validación y factores de defecto soportados por el servidor SCVP.

Las políticas detallan las reglas y factores que emplea SCVP para validar certificados, así sea que en la petición del usuario haga referencia de ellas a través de factores o bien sin ellos. En todo caso la definición de las políticas implica la especificación del algoritmo que va a ser utilizado asociado a los factores de la política de validación.

El algoritmo de validación es uno de los factores de de la política de validación. El algoritmo de validación básico está definido en PKIX, este deja al cliente del servicio pedir información auxiliar sobre los certificados sobre los certificados a ser ratificados. Los algoritmos de validación sirven como guía de cara al desarrollo de nuevos algoritmos de validación concretos para determinadas aplicaciones. Por poner un ejemplo una aplicación pudiese requerir la presencia de un formato concreto para el nombre del sujeto o bien organización en el certificado digital.

Existen 2 géneros de petición de validación: Protegida y no protegida.

La protegida se emplea para autentificar al usuario con el servidor o bien para otorgar el anonimato del usuario sobre la petición-contestación.

La protección se da a través de una firma digital o bien un código de mensaje de autentificación (MAC). En el último de los casos, la llave MAC se deriva utilizando un algoritmo de establecimiento de la llave como el algoritmo Diffie Hellman. Si la llave pública del cliente del servicio está contenida en un certificado, entonces esta puede utilizarse para autentificar al cliente del servicio.Generalmente, esta llave va a ser fugaz, para dar soporte a un usuario anónimo.

Un servidor puede requerir protección para todas y cada una de las peticiones, y puede descartar todas y cada una de las peticiones no protegidas. Mas asimismo el servidor puede seleccionar si procesa las peticiones no protegidas.

Las peticiones no protegidas son solicitudes de validación de certificado encapsuladas en mensajes Content Management System (Cryptographic Message Syntax) ]

Durante el procesamiento de senda de certificación, el servidor SCVP puede hallar una enorme porción de objetos PKI generados por una PKI particularmente. Estos objetos se guardan, incluso cuando no se realice ninguna consulta del cliente del servicio, a lo largo de largos periodos de tiempo con el propósito de atender futuras solicitudes en cualquier instante.

El SCVP deja a los clientes del servicio pedir tanta información como sea precisa, así sea que se trate de certificados de la entidad final, trayectorias de certificación que contengan un certificado de la entidad final hasta un ancla de confianza, trayectorias de certificación que contengan un certificado de la entidad media hasta un ancla de confianza, o bien Información de revocación.

Las contestaciones del servidor dan las patentizas registradas para:

• Una senda de certificación completa.
  
• Una senda de certificación parcial.
  
• Un certificado público.
  
• Información de revocación.
  
• Cualquier contestación.

  ELIGE TU TEMA DE INTERÉS: 

---

Internet y Tecnologias

• Anterior
• Siguiente