Últimas notícias

Fique informado
O que é LCR e OCSP

O que é LCR e OCSP

09/09/2010
 LCR – Lista de Certificados Revogados

Quando um certificado digital é emitido, um período de validade de uso é definido. Entretanto, sob diversas circunstâncias, um certificado digital pode tornar-se inválido antes de sua data de expiração e ser revogado pelo seu proprietário.LCR

Como saber o status dos certificados? O usuário não precisa se preocupar como é feita a verificação, porque ao utilizar seu certificado o sistema operacional consulta automaticamente a Autoridade Certificadora emissora do certificado para verificar seu status.
Cada Autoridade Certificadora publica sua lista de certificados digitais revogados.

A LCR é publicada em um repositório público e a cada período de publicação a lista é assinada e selada: Assinada digitalmente por um certificado digital da Autoridade Certificadora correspondente e recebe um Carimbo do Tempo.

O tempo de publicação das LCRs dependerá da política de cada tipo de certificado e de cada Autoridade Certificadora. O padrão atual é a LCR atualizada e publicada de hora em hora, mas existem casos em que são atualizadas uma vez ao dia.

A verificação feita em tempo real é chamada OCSP – Online Certificate Status Protocol. Segue os mesmos critérios de publicação do LCR, mas a publicação da revogação é feita em tempo real.

O Protocolo Online Certificate Status (OCSP) é um protocolo de Internet utilizado para a obtenção do status de revogação de um X.509 certificado digital. É descrito no RFC 2560 e segue os padrões da Internet. Foi criado como uma alternativa para LCR Listas de Revogação de Certificado (CRL), especificamente abordando alguns problemas associados ao uso de LCR em uma infra-estrutura de chave pública (PKI).

Mensagens transmitidas via OCSP são codificados em ASN.1 e geralmente são transmitidas por HTTP. O “pedido / resposta ” dessas mensagens conduz aos servidores com o protocolo OCSP sendo denominado “OCSP responders”.

Uma vez que uma resposta do protocolo OCSP contém menos informação do que a LCR (Lista de Certificados Revogados), a consulta via OCSP permite informações atualizadas em tempo real sobre o estado de revogação de um certificado, sem sobrecarregar a rede.

A consulta a LCR e OCSP impede que certificado digital sem validade seja utilizado.

Normalmente o serviço de verificação que utiliza o protocolo OCSP é exigido pelo mercado financeiro, ou seja, algumas aplicações dos bancos de investimento só aceitam certificados de Autoridades Certificadoras que utilizam este protocolo.

Além dos bancos, outros segmentos deveriam avaliar o risco do “delay” gerado entre cada atualização da LCR para entender suas necessidades em relação aos certificados baseado na política de verificação. Neste caso entre o protocolo OSCP e a LCR.

Em breve acredito que o padrão seja mesmo o protocolo OSCP, mas isso será uma decorrência da demanda dos desenvolvedores de aplicações com uso de certificados digitais. Assim como, acredito que seja disponibilizado no futuro serviços de consultas online a bancos de LCRs e OCSP com datas retroativas, no dia e hora que for conveniente aos interessados. Hoje a maioria dos serviços só possibilitam consultas à listas atualizadas.

 

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

<