El Protocolo de inscripción de certificado simple (SCEP) se describe en el RFC 8894 informativo . Las versiones anteriores de este protocolo se convirtieron en un estándar industrial de facto para el aprovisionamiento pragmático de certificados digitales principalmente para equipos de red.
El protocolo ha sido diseñado para hacer que la solicitud y emisión de certificados digitales sea lo más simple posible para cualquier usuario de red estándar. Por lo general, estos procesos han requerido un aporte intensivo de los administradores de red , por lo que no se han adaptado a implementaciones a gran escala.
Popularidad
El Protocolo simple de inscripción de certificados sigue siendo el protocolo de inscripción de certificados más popular y ampliamente disponible, y lo utilizan numerosos fabricantes de equipos de red y software que están desarrollando métodos simplificados de gestión de certificados para la implementación a gran escala para los usuarios cotidianos. [ cita requerida ] Se utiliza, por ejemplo, por el sistema operativo Cisco IOS (incluso si Cisco ahora está impulsando el EST ligeramente más destacado ) y los iPhones para inscribirse en empresas PKI . La mayoría del software PKI (específicamente las implementaciones de RA) lo admite, incluido el Servicio de inscripción de dispositivos de red (NDES) del Servicio de certificados de Active Directory .
Crítica
- Las versiones heredadas de SCEP, que todavía se emplean en la gran mayoría de las implementaciones, están limitadas a inscribir certificados solo para claves RSA.
- Debido al uso del formato PKCS # 10 autofirmado para las solicitudes de firma de certificado (CSR), los certificados solo se pueden inscribir para las claves que admiten la firma. Una limitación compartida por los otros protocolos de inscripción basados en CSR, por ejemplo, EST y ACME, o incluso el flujo de trabajo de inscripción basado en web de la mayoría de los programas de PKI donde el solicitante comienza generando un par de claves y una CSR.
- Aunque la prueba de origen de las solicitudes de inscripción de certificados, es decir, la autenticación del solicitante del certificado, es el requisito de seguridad más crítico, por razones pragmáticas, su soporte no es estrictamente necesario dentro de SCEP. La autenticación de cliente basada en firmas utilizando un certificado ya existente sería el mecanismo preferido, pero en muchos casos de uso no es posible o no es compatible con las implementaciones dadas. Como alternativa, SCEP solo proporciona el uso de un secreto compartido, que debe ser específico del cliente y usarse solo una vez. La confidencialidad de este secreto compartido es frágil porque debe incluirse en el campo 'challengePassword' del CSR, que luego está protegido por un cifrado externo.
Historia
SCEP fue diseñado por Verisign para Cisco [1] como una alternativa ajustada a la administración de certificados sobre CMS (CMC) y el muy poderoso pero también bastante voluminoso Protocolo de administración de certificados (CMP). Alrededor de 2010, Cisco suspendió el trabajo en SCEP y desarrolló EST en su lugar. En 2015, Peter Gutmann revivió el Borrador de Internet debido al uso generalizado de SCEP en la industria y en otros estándares. [2] Actualizó el borrador con algoritmos más modernos y corrigió numerosos problemas en la especificación original. En septiembre de 2020, el borrador se publicó como informativo RFC 8894 , más de veinte años después del comienzo del esfuerzo de estandarización. [3] La nueva versión también admite la inscripción de certificados que no son RSA (por ejemplo, para claves públicas ECC ).
Ver también
enlaces externos
- Plataforma de diapositivas que describe SCEP: pkix-3.pdf