Como saber o status dos certificados?
O usuário não precisa se preocupar como é feita a verificação, porque ao utilizar seu certificado o sistema operacional consulta automaticamente a Autoridade Certificadora emissora do certificado para verificar seu status.
Cada Autoridade Certificadora publica sua lista de certificados digitais revogados.
A sigla é LCR - Lista de Certificados Revogados.
A LCR é publicada em um repositório público e a cada período de publicação a lista é assinada e selada: Assinada digitalmente por um certificado digital da Autoridade Certificadora correspondente e recebe um Carimbo do Tempo.
O tempo de publicação das LCRs dependerá da política de cada tipo de certificado e de cada Autoridade Certificadora. O padrão atual é a LCR atualizada e publicada de hora em hora, mas existem casos em que são atualizadas uma vez ao dia.
A verificação feita em tempo real é chamada OCSP - Online Certificate Status Protocol. Segue os mesmos critérios de publicação do LCR, mas a publicação da revogação é feita em tempo real.
O Protocolo Online Certificate Status (OCSP) é um protocolo de Internet utilizado para a obtenção do status de revogação de um X.509 certificado digital. É descrito no RFC 2560 e segue os padrões da Internet. Foi criado como uma alternativa para LCR Listas de Revogação de Certificado (CRL), especificamente abordando alguns problemas associados ao uso de LCR em uma infra-estrutura de chave pública (PKI).
Mensagens transmitidas via OCSP são codificados em ASN.1 e geralmente são transmitidas por HTTP. O "pedido / resposta " dessas mensagens conduz aos servidores com o protocolo OCSP sendo denominado “OCSP responders”.
Uma vez que uma resposta do protocolo OCSP contém menos informação do que a LCR (Lista de Certificados Revogados), a consulta via OCSP permite informações atualizadas em tempo real sobre o estado de revogação de um certificado, sem sobrecarregar a rede.
A consulta a LCR e OCSP impede que certificado digital sem validade seja utilizado.
Normalmente o serviço de verificação que utiliza o protocolo OCSP é exigido pelo mercado financeiro, ou seja, algumas aplicações dos bancos de investimento só aceitam certificados de Autoridades Certificadoras que utilizam este protocolo.
Além dos bancos, outros segmentos deveriam avaliar o risco do “delay” gerado entre cada atualização da LCR para entender suas necessidades em relação aos certificados baseado na política de verificação. Neste caso entre o protocolo OSCP e a LCR.
Em breve acredito que o padrão seja mesmo o protocolo OSCP, mas isso será uma decorrência da demanda dos desenvolvedores de aplicações com uso de certificados digitais. Assim como, acredito que seja disponibilizado no futuro serviços de consultas online a bancos de LCRs e OCSP com datas retroativas, no dia e hora que for conveniente aos interessados. Hoje a maioria dos serviços só possibilitam consultas à listas atualizadas.
O usuário não precisa se preocupar como é feita a verificação, porque ao utilizar seu certificado o sistema operacional consulta automaticamente a Autoridade Certificadora emissora do certificado para verificar seu status.
Cada Autoridade Certificadora publica sua lista de certificados digitais revogados.
A sigla é LCR - Lista de Certificados Revogados.
A LCR é publicada em um repositório público e a cada período de publicação a lista é assinada e selada: Assinada digitalmente por um certificado digital da Autoridade Certificadora correspondente e recebe um Carimbo do Tempo.
O tempo de publicação das LCRs dependerá da política de cada tipo de certificado e de cada Autoridade Certificadora. O padrão atual é a LCR atualizada e publicada de hora em hora, mas existem casos em que são atualizadas uma vez ao dia.
A verificação feita em tempo real é chamada OCSP - Online Certificate Status Protocol. Segue os mesmos critérios de publicação do LCR, mas a publicação da revogação é feita em tempo real.
O Protocolo Online Certificate Status (OCSP) é um protocolo de Internet utilizado para a obtenção do status de revogação de um X.509 certificado digital. É descrito no RFC 2560 e segue os padrões da Internet. Foi criado como uma alternativa para LCR Listas de Revogação de Certificado (CRL), especificamente abordando alguns problemas associados ao uso de LCR em uma infra-estrutura de chave pública (PKI).
Mensagens transmitidas via OCSP são codificados em ASN.1 e geralmente são transmitidas por HTTP. O "pedido / resposta " dessas mensagens conduz aos servidores com o protocolo OCSP sendo denominado “OCSP responders”.
Uma vez que uma resposta do protocolo OCSP contém menos informação do que a LCR (Lista de Certificados Revogados), a consulta via OCSP permite informações atualizadas em tempo real sobre o estado de revogação de um certificado, sem sobrecarregar a rede.
A consulta a LCR e OCSP impede que certificado digital sem validade seja utilizado.
Normalmente o serviço de verificação que utiliza o protocolo OCSP é exigido pelo mercado financeiro, ou seja, algumas aplicações dos bancos de investimento só aceitam certificados de Autoridades Certificadoras que utilizam este protocolo.
Além dos bancos, outros segmentos deveriam avaliar o risco do “delay” gerado entre cada atualização da LCR para entender suas necessidades em relação aos certificados baseado na política de verificação. Neste caso entre o protocolo OSCP e a LCR.
Em breve acredito que o padrão seja mesmo o protocolo OSCP, mas isso será uma decorrência da demanda dos desenvolvedores de aplicações com uso de certificados digitais. Assim como, acredito que seja disponibilizado no futuro serviços de consultas online a bancos de LCRs e OCSP com datas retroativas, no dia e hora que for conveniente aos interessados. Hoje a maioria dos serviços só possibilitam consultas à listas atualizadas.
Nenhum comentário:
Postar um comentário
Agradecemos sua participação.