regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

quinta-feira, 9 de setembro de 2010

O que é LCR e OCSP

Quando um certificado digital é emitido, um período de validade de uso é definido. Entretanto, sob diversas circunstâncias, um certificado digital pode tornar-se inválido antes de sua data de expiração e ser revogado pelo seu proprietário.

Como saber o status dos certificados?

O usuário não precisa se preocupar como é feita a verificação, porque ao utilizar seu certificado o sistema operacional consulta automaticamente a Autoridade Certificadora emissora do certificado para verificar seu status.

Cada Autoridade Certificadora publica sua lista de certificados digitais revogados.

A sigla é LCR - Lista de Certificados Revogados.

A LCR é publicada em um repositório público e a cada período de publicação a lista é assinada e selada: Assinada digitalmente por um certificado digital da Autoridade Certificadora correspondente e recebe um Carimbo do Tempo.

O tempo de publicação das LCRs dependerá da política de cada tipo de certificado e de cada Autoridade Certificadora. O padrão atual é a LCR atualizada e publicada de hora em hora, mas existem casos em que são atualizadas uma vez ao dia.

A verificação feita em tempo real é chamada OCSP - Online Certificate Status Protocol. Segue os mesmos critérios de publicação do LCR, mas a publicação da revogação é feita em tempo real.

O Protocolo Online Certificate Status (OCSP) é um protocolo de Internet utilizado para a obtenção do status de revogação de um X.509 certificado digital. É descrito no RFC 2560 e segue os padrões da Internet. Foi criado como uma alternativa para LCR Listas de Revogação de Certificado (CRL), especificamente abordando alguns problemas associados ao uso de LCR em uma infra-estrutura de chave pública (PKI).

Mensagens transmitidas via OCSP são codificados em ASN.1 e geralmente são transmitidas por HTTP. O "pedido / resposta " dessas mensagens conduz aos servidores com o protocolo OCSP sendo denominado “OCSP responders”.

Uma vez que uma resposta do protocolo OCSP contém menos informação do que a LCR (Lista de Certificados Revogados), a consulta via OCSP permite informações atualizadas em tempo real sobre o estado de revogação de um certificado, sem sobrecarregar a rede.

A consulta a LCR e OCSP impede que certificado digital sem validade seja utilizado.

Normalmente o serviço de verificação que utiliza o protocolo OCSP é exigido pelo mercado financeiro, ou seja, algumas aplicações dos bancos de investimento só aceitam certificados de Autoridades Certificadoras que utilizam este protocolo.

Além dos bancos, outros segmentos deveriam avaliar o risco do “delay” gerado entre cada atualização da LCR para entender suas necessidades em relação aos certificados baseado na política de verificação. Neste caso entre o protocolo OSCP e a LCR.

Em breve acredito que o padrão seja mesmo o protocolo OSCP, mas isso será uma decorrência da demanda dos desenvolvedores de aplicações com uso de certificados digitais. Assim como, acredito que seja disponibilizado no futuro serviços de consultas online a bancos de LCRs e OCSP com datas retroativas, no dia e hora que for conveniente aos interessados. Hoje a maioria dos serviços só possibilitam consultas à listas atualizadas.



Regina Tupinambá
Especialista em Certificação Digital

Leia também: 

OCSP Must-Staple

Nenhum comentário:

Postar um comentário

Agradecemos sua participação.