Una lista de revocación de certificados (CRL) es una lista de
certificados revocados que es generada y firmada por una autoridad certificadora(CA). Es
posible descargar una CRL a su navegador, y éste puede comprobarla
para asegurarse que los certificados todavía son válidos antes
de permitir su uso para autentificación.
Elija la opción Administrar CRLs para ver una lista de las CRLs
disponibles en el administrador de certificados.
El Protocolo de Estado de Certificados en Línea (OCSP) hace posible
que el administrador de certificados realice una comprobación en
línea de la validez del certificado cada vez que el certificado se ve
o usa. Este proceso conlleva la comprobación del certificado contra
una lista de revocación de certificados (CRL) mantenida en un servidor
especificado. Su ordenador debe estar en línea para que funcione el
OCSP.
Para especificar cómo usa el administrador de certificados OCSP,
elija una de estas opciones en la sección OCSP de Opciones de
validación:
Usar el Protocolo de Estado de Certificados en Línea (OCSP)
para confirmar la validez actual de los certificados: seleccione
esta opción si quiere que el administrador de certificados realice una
comprobación en línea del estado cada vez que verifique un certificado.
Si esta opción está desactivada, el administrador de certificados sólo
confirmará el periodo de validez del certificado y que está firmado
correctamente por una CA cuyo propio certificado de CA esté listado bajo
la pestaña de certificados CA (en la ventana principal del administrador
de certificados) y marcada como confiable para emitir ese tipo de
certificado.
Validar un certificado si especifica un servidor OCSP:
seleccione esta opción para validar en línea los certificados que
proporcionen una dirección de servicio de validación (URL de servicio).
El administrador de certificados se asegura de que el certificado se lista
como válido en la URL y comprueba el periodo de validez y las opciones de
confianza.
Validar todos los certificados usando el siguiente servidor
OCSP: seleccione esta opción si quiere especificar un servidor
OCSP para la validación de todos los certificados. Si selecciona esta
opción, también deberá elegir el certificado del menú emergente Firmante
de la respuesta que identifique el firmante de las respuestas de OCSP. Con
esta opción, los únicos certificados que reconoce el administrador de
certificados son aquellos que pueden verificarse por una respuesta OCSP
firmada con el certificado del firmante de la respuesta (o firmada usando
un certificado que dependa encadenadamente de ella).
Cuando elija un certificado de un Firmante de respuestas en el menú
desplegable, el administrador de certificados rellena automáticamente la
URL del servicio (si está disponible) para ese firmante. Si la URL del
servicio no se rellena automáticamente, debe rellenarla usted mismo; pida
los datos al administrator del sistema.
Cuando falle una conexión al servidor OCSP, tratar el
certificado como no válido: seleccione esta opción si quiere que
la validación falle si no se puede establecer una conexión al servidor
OCSP.
Gestión de CRLs
Esta sección explica cómo usar el cuadro de diálogo de gestión de CRLs.
Para verlo, siga estos pasos:
Abra el menú &brandShortName;Editar y elija Preferencias.
En la categoría de Privacidad y Seguridad, seleccione
Validación. (Si no hay subcategorias visibles, haga doble clic en
la categoría para expandir la lista.)
Haga clic en Gestionar CRLs.
Este cuadro de diálogo muestra una lista de CRLs que ha descargado para
usar con el navegador. Normalmente, se descarga una CRL haciendo clic en la
URL. Para más información sobre cómo funcionan las CRLs,
vea Gestionando CRLs.
Para seleccionar una CRL, haga clic en ella. Luego puede realizar una de
las siguientes acciones:
Borrar: borra la CRL permanentemente del disco duro.
No haga esto a menos que esté seguro de que ya no va a necesitar la
CRL para validar certificados. Si tiene dudas, consulte al administrador
del sistema.
Opciones: abre el cuadro de diálogo Preferencias para la
actualización automática de CRL , que le permite activar
actualizaciones automáticas de CRL para la CRL seleccionada y
especificar con qué frecuencia deben realizarse.
Actualizar: actualiza immediatamente la CRL
seleccionada (si es posible).
El cuadro de diálgogo Gestionar CRLs proporciona la siguiente
información acerca de cada CRL:
Organización (O): el nombre de la
organización que emitió la CRL.
Unidad Organizativa (OU): el nombre de la unidad
organizativa que emitió la CRL (como puede ser la CA raíz
para una clase particular de certificado).
Ultima actualización: la fecha en que se
actualizó la copia del navegador de esta CRL.
Próxima actualización: la fecha
siguiente en que el emisor de esta CRL publicará una versión
actualizada.
Actualización automática: indica si se
ha activado la actualización automática para esta CRL. Para
ver las opciones de actualización automática, seleccione la
CRL y elija Opciones.
Estado de la actualización automática:
Si la actualización automática no ha sido activada,
o si ha sido activada pero la siguiente actualización
programada todavía no se ha producido, este valor estará
en blanco.
Después de que se haya producido al menos una
actualización automática, este campo indica
fallo si la actualización automática
más reciente falló, pero indicará
correcto si la actualización automática
más reciente fue correcta.
Estado de importación de CRL
Esta sección explica cómo usar el cuadro de diálogo
para importar el estado de CRLs, que aparece la primera vez que se intenta
importar una CRL o cuando se actualiza correctamente de forma manual.
Este cuadro de diálogo le informa de
si el intento de importar o actualizar la CRL fue correcto
qué organización emitió la CRL
cuándo se publicará la próxima
actualización de esta CRL
si se ha activado la actualización automática para esta
CRL
Si la actualización automática no está activada,
puede activarla desde aqui:
Sí: haga clic en Sí para activar la
actualización automática de esta CRL. Si hace clic en este
botón, el cuadro de diálogo de preferencias de
actualización automática de CRL aparecerá a
continuación. La sección siguiente explica cómo poner
las preferencias.
No: haga clic en No si quiere dejar desactivada la
actualización automática.
Preferencias de
actualización automática de CRLs
Esta seccion explica cómo usar el cuadro de diálogo de
preferencias de actualización automática de CRLs. Si aún
no puede verlo, siga estos pasos:
Abra el menú &brandShortName;Editar y elija Preferencias.
En la categoría de Privacidad y Seguridad, haga clic en
Validación. (Si no hay subcategories visibles, haga doble clic en
la categoría para expandir la lista).
Seleccione Gestionar CRLs, y elija la CRL que quiera ver o
cambiar.
Seleccione Opciones.
Este cuadro de diálogo muestra las siguientes opciones y la
siguiente información:
Activar actualización automatica para esta CRL:
seleccione esta opción si quiere que se actualice
automáticamente la CRL seleccionada según lo programado
aquí (fíjese que no puede seleccionar esta opción
si la CRL no tiene especificada una fecha de siguiente
actualización).
Si activa la actualización automática, debe seleccionar
una de las siguientes opciones:
Actualizar X días antes de la siguiente
actualización: seleccione esta opción si quiere
basar la frecuencia de actualización en la que use el emisor de
la CRL a la hora de publicar nuevas versiones.
Actualizar cada X días: seleccione esta
opción si quiere especificar un intervalo que no tenga
relación con la fecha de la siguiente actualización de la
CRL.
La CRL se importaría de: indica la URL que
usó el navegador originalmente para importar la CRL. Esta
opción no se puede cambiar. Para especifica un sitio distinto, borre
la CRL y vuelva a importarla desde la nueva dirección.
Fallos consecutivos en actualizaciones previas: indica
cuántas veces consecutivas han fallado los intentos de actualizar
esta CRL, incluyendo el fallo más reciente:
Si la actualización más reciente fue correcta, se
indicará Ninguno incluso si hubo intentos fallidos
con anterioridad.
Si el intento más reciento falló, entonces se indica
el número de fallos consecutivos y el mensaje de error del
último fallo.