Últimas notícias

Fique informado

Certificado digital e a importância da lista de revogação. Por Adriano Frare

5 de fevereiro de 2020

Spotlight

PL 317/21: Plenário aprova criação do Governo Digital

O PL 317/2021, conhecido como o do Governo Digital segue agora para sanção presidencial.

26 de fevereiro de 2021

Qual é o valor legal de uma assinatura eletrônica?

No passado, muitas pessoas relutavam em usar documentos ou assinatura eletrônica, questionando sua validade legal e a capacidade de usá-los como evidência ​​em processos judiciais ou demais contextos jurídicos

25 de fevereiro de 2021

Diretor da Digicert fala sobre os megavazamentos no Brasil e as novas relações de confiança na internet

Segundo Dean Coclin , “Os consumidores devem agora olhar além da fechadura para verificar se o site é autêntico”.

24 de fevereiro de 2021

Assinatura Eletrônica nos contratos e em outros atos jurídicos

“A assinatura eletrônica decorrente de certificados emitidos no âmbito do ICP-Brasil é eficaz para qualquer ato jurídico por força do art. 10 da MP 2.200-2/2001”

23 de fevereiro de 2021

Mergulhando e Navegando no Submundo da Deep Web

Deep Web (dark web, deepnet, invisible net, undernet, ou hidden web) refere-se a qualquer rede fechada que compreende um grupo privado de pessoas, que querem se comunicar.

25 de julho de 2016

10 ferramentas online para testar SSL, TLS e vulnerabilidades

A verificação da vulnerabilidade do SSL e TLS são necessárias para garantir que os parâmetros de certificado estejam corretamente configurados.

15 de janeiro de 2020

É possível abrir uma empresa com Certificado Digital? – Ouça

O cenário da Certificação Digital se expandiu significativamente nos últimos anos e o uso do certificado introduz uma nova dinâmica no mercado.

6 de janeiro de 2020

Marcelo Buz publica vídeo em que fala sobre a modernização do certificado digital no Brasil

O ITI vem cada vez mais se modernizando e com inovações sendo aprovadas, Marcelo Buz fala sobre a atual situação do certificado digital.

5 de dezembro de 2019

LCR fora do ar suspende a utilização dos certificados digitais ICP-BRASIL

O Instituto Nacional de Tecnologia da Informação (ITI) divulgou ontem

8 de maio de 2015

O que é LCR e OCSP

 LCR – Lista de Certificados Revogados Quando um certificado digital

9 de setembro de 2010

A importância da verificação da lista de certificados revogados (LCR) na validação do certificado

Por Adriano Frare

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

O uso de certificados digitais para autenticar sites e criptografar comunicações on-line não é tão seguro quanto geralmente se supõe, quando rotinas de verificação de certificados revogados não são implementadas ou parcialmente validadas.

As autoridades de certificação, são as entidades que distribuem certificados digitais, são responsáveis por manter atualizado e distribuir listas de certificados revogados.

A necessidade de todos os participantes do ecossistema de revogação, sejam as Autorizadas Certificadoras, empresas de desenvolvimento de aplicações e demais entidades, devem intensificar a maneira com que tratam da LCR e cumpram suas responsabilidades.

Os certificados digitais são um componente vital da infraestrutura de chave pública da Web. Eles são usados para autenticar sites e criptografar as comunicações entre um sistema cliente e um servidor. Se um site estiver comprometido ou a chave de criptografia privada associada a um certificado digital for exposta, o certificado deverá ser revogado para que outras pessoas não possam usá-lo para se passar por ele ou espioná-lo.

Normalmente, o administrador do site é solicitado a solicitar à autoridade de certificação que revogue o certificado comprometido e, em seguida, emita um novo. Ocorre que os administradores da Web que se esforçam para obter um novo certificado, mas geralmente não conseguem atualizar todos os seus sistemas com o novo certificado. O que pode causar o comprometimento da segurança da sua infraestrutura.

Um certificado revogado normalmente não deve apresentar uma mensagem de segurança porque os navegadores devem verificar se um certificado é válido antes de aceitá-lo. As autoridades de certificação distribuem o que é conhecido como LCRs (listas de revogação de certificados) que os navegadores devem verificar antes de confiar ou rejeitar um certificado.

Um motivo pode ser o tamanho das LCRs mantidas pelas diferentes autoridades de certificação. “A verificação adequada de um certificado digital exige que a aplicação baixe a CRL antes de estabelecer completamente a conexão SSL”. Porém, como as LCRs geralmente são relativamente grandes, o download delas pode apresentar problemas de latência, especialmente no caso de ambientes móveis com restrição de largura de banda.

Algumas Autoridades Certificadoras começaram a usar várias LCRs para manter suas listas pequenas, mas muitas continuam usando grandes LCRs volumosas que podem causar problemas nas aplicações no momento da validação.

Para que a revogação do certificado digital funcione da maneira pretendida, administradores da Web, Autoridades Certificadoras, fabricantes de navegadores e fornecedores de aplicação que utilizam a tecnologia de certificação digital, precisam cumprir suas responsabilidades.

 

Os desafios de segurança no IoT. Por Adriano Frare

10 ferramentas online para testar SSL, TLS e vulnerabilidades

Quer confirmar o local onde pretende fazer a validação do certificado digital ICP-Brasil?

LCR fora do ar suspende a utilização dos certificados digitais ICP-BRASIL

O que é LCR e OCSP

 

Navegue mais em nosso portal, você com certeza vai gostar!

  Explore outros artigos!