Últimas notícias

Fique informado

Certificado digital e a importância da lista de revogação. Por Adriano Frare

05/02/2020

Spotlight

Lei Geral de Proteção de Dados Brasileira – LGPD começa a valer

Começa a valer nesta sexta 18 de setembro de 2020 conforme o texto aprovado pelo Senado .

18/09/2020

Como gerenciar Identidades Digitais em empresas públicas e privadas? Ouça

Sobre como gerenciar eIDs, conversamos com Luís Correia – Business Development da AET EUROPE, empresa global na área de soluções de segurança digital.

02/09/2020

10 ferramentas online para testar SSL, TLS e vulnerabilidades

A verificação da vulnerabilidade do SSL e TLS são necessárias para garantir que os parâmetros de certificado estejam corretamente configurados.

15/01/2020

É possível abrir uma empresa com Certificado Digital? – Ouça

O cenário da Certificação Digital se expandiu significativamente nos últimos anos e o uso do certificado introduz uma nova dinâmica no mercado.

06/01/2020

Marcelo Buz publica vídeo em que fala sobre a modernização do certificado digital no Brasil

O ITI vem cada vez mais se modernizando e com inovações sendo aprovadas, Marcelo Buz fala sobre a atual situação do certificado digital.

05/12/2019

LCR fora do ar suspende a utilização dos certificados digitais ICP-BRASIL

O Instituto Nacional de Tecnologia da Informação (ITI) divulgou ontem

08/05/2015

O que é LCR e OCSP

 LCR – Lista de Certificados Revogados Quando um certificado digital

09/09/2010

A importância da verificação da lista de certificados revogados (LCR) na validação do certificado

Por Adriano Frare

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

O uso de certificados digitais para autenticar sites e criptografar comunicações on-line não é tão seguro quanto geralmente se supõe, quando rotinas de verificação de certificados revogados não são implementadas ou parcialmente validadas.

As autoridades de certificação, são as entidades que distribuem certificados digitais, são responsáveis por manter atualizado e distribuir listas de certificados revogados.

A necessidade de todos os participantes do ecossistema de revogação, sejam as Autorizadas Certificadoras, empresas de desenvolvimento de aplicações e demais entidades, devem intensificar a maneira com que tratam da LCR e cumpram suas responsabilidades.

Os certificados digitais são um componente vital da infraestrutura de chave pública da Web. Eles são usados para autenticar sites e criptografar as comunicações entre um sistema cliente e um servidor. Se um site estiver comprometido ou a chave de criptografia privada associada a um certificado digital for exposta, o certificado deverá ser revogado para que outras pessoas não possam usá-lo para se passar por ele ou espioná-lo.

Normalmente, o administrador do site é solicitado a solicitar à autoridade de certificação que revogue o certificado comprometido e, em seguida, emita um novo. Ocorre que os administradores da Web que se esforçam para obter um novo certificado, mas geralmente não conseguem atualizar todos os seus sistemas com o novo certificado. O que pode causar o comprometimento da segurança da sua infraestrutura.

Um certificado revogado normalmente não deve apresentar uma mensagem de segurança porque os navegadores devem verificar se um certificado é válido antes de aceitá-lo. As autoridades de certificação distribuem o que é conhecido como LCRs (listas de revogação de certificados) que os navegadores devem verificar antes de confiar ou rejeitar um certificado.

Um motivo pode ser o tamanho das LCRs mantidas pelas diferentes autoridades de certificação. “A verificação adequada de um certificado digital exige que a aplicação baixe a CRL antes de estabelecer completamente a conexão SSL”. Porém, como as LCRs geralmente são relativamente grandes, o download delas pode apresentar problemas de latência, especialmente no caso de ambientes móveis com restrição de largura de banda.

Algumas Autoridades Certificadoras começaram a usar várias LCRs para manter suas listas pequenas, mas muitas continuam usando grandes LCRs volumosas que podem causar problemas nas aplicações no momento da validação.

Para que a revogação do certificado digital funcione da maneira pretendida, administradores da Web, Autoridades Certificadoras, fabricantes de navegadores e fornecedores de aplicação que utilizam a tecnologia de certificação digital, precisam cumprir suas responsabilidades.

 

Os desafios de segurança no IoT. Por Adriano Frare

10 ferramentas online para testar SSL, TLS e vulnerabilidades

Quer confirmar o local onde pretende fazer a validação do certificado digital ICP-Brasil?

LCR fora do ar suspende a utilização dos certificados digitais ICP-BRASIL

O que é LCR e OCSP

 

Navegue mais em nosso portal, você com certeza vai gostar!

  Explore outros artigos!