============================================================================
- Forefront UAG: Publicar la Lista de Certificados Revocados CRL [1 de 4]
- Forefront UAG: Publicar la Lista de Certificados Revocados CRL [2 de 4]
- Forefront UAG: Publicar la Lista de Certificados Revocados CRL [3 de 4]
- Forefront UAG: Publicar la Lista de Certificados Revocados CRL [4 de 4]
============================================================================

Una de las condiciones importantes que presenta el uso de mecanismos de certificados en acceso a sitios web es comprobar por parte del cliente que el certificado es correcto. Para ello deberán darse una serie de características:

- El certificado proviene de una entidad certificadora de confianza.
- El certificado no ha expirado y su uso es posterior al de la fecha de expedición.
- El encabezado del sitio coincide con el nombre asignado al certificado.

Si bien estas condiciones son comúnmente cumplimentadas existe otro hecho que a veces pasa desapercibido, pero que es de obligado cumplimiento para determinadas tareas: la comprobación de revocación de certificado.


Figura 1: Fallo en la comprobación de la revocación del certificado

La anterior imagen mostraba la advertencia de que no se había podido comprobar la lista de revocación de certificados. Este hecho implica que aunque el certificado hubiera sido revocado en la entidad certificadora, por motivos de seguridad u otros, el no poder comprobarlo permite que pueda continuarse el acceso al sitio web. El no poder realizar esta comprobación se considera una posible incidencia de seguridad. El motivo es que este certificado podría ser utilizado ilegítimamente por alguien que lo ha robado, pudiendo la organización que lo tendría en su posesión haber solicitado su revocación a la entidad certificadora. Sin la comprobación pertinente de la lista de revocación de certificados (CRL), este dato queda sin aclarar y se deja en manos del usuario continuar o no con el proceso.

En el caso de Microsoft Forefront Unified Access Gateway UAG 2010, si se da este hecho aunque el primer acceso al portal podría realizarse con dicho error, fallarán procesos posteriores como la conexión SSTP para el conector de red o los procesos de autenticación basado en certificados. La siguiente imagen muestra el fallo del conector de red para el túnel SSTP al no poder acceder a la CRL correspondiente.


Figura 2: Fallo en la conexión SSTP

En el caso de utilizar una entidad certificadora reconocida oficialmente como en el caso de la VeriSign o Thawte este hecho no de vería ser un problema puesto que mantienen las CRL accesibles por Internet. Pero en el caso de que el certificado utilizado para el portal haya sido creado por una entidad certificadora interna, la publicación deberá ser mantenida por la organización. Las propiedades del propio certificado proporcionan la dirección de acceso a la CRL, tal y como se muestra en la siguiente imagen.


Figura 3: Información de acceso a la CRL

============================================================================
- Forefront UAG: Publicar la Lista de Certificados Revocados CRL [1 de 4]
- Forefront UAG: Publicar la Lista de Certificados Revocados CRL [2 de 4]
- Forefront UAG: Publicar la Lista de Certificados Revocados CRL [3 de 4]
- Forefront UAG: Publicar la Lista de Certificados Revocados CRL [4 de 4]
============================================================================