Últimas notícias

Fique informado

Problemas no OCSP causa revogação de ACs Intermediárias. Por Adriano Frare

14/07/2020

Spotlight

A sanção da Lei 14.063 de 2020, segundo agência Senado.

A nova lei cria dois novos tipos de assinatura eletrônica em comunicações com entes públicos e em questões de saúde: simples e avançada.

25/09/2020

Lei Geral de Proteção de Dados Brasileira – LGPD começa a valer

Começa a valer nesta sexta 18 de setembro de 2020 conforme o texto aprovado pelo Senado .

18/09/2020

Como gerenciar Identidades Digitais em empresas públicas e privadas? Ouça

Sobre como gerenciar eIDs, conversamos com Luís Correia – Business Development da AET EUROPE, empresa global na área de soluções de segurança digital.

02/09/2020

QUIC com compactação na comunicação TLS

As implementações do QUIC agora enfrentam a decisão de atualizar ou não o código TLS incorporado para suportar a compactação de certificado.

24/05/2020

Relatório de Segurança de 1 milhão de sites. Por Adriano Frare

O site CRAWLER.NINJA emitiu um relatório onde verificamos o aumento significativo do usos de sites utilizando HTTPS e criptografia forte.

24/04/2020

Quando um sistema verifica o status de revogação de um certificado digital, normalmente usa algo chamado de token OCSP

Por Adriano Frare

Adriano Valério L. Frare – Pki consultant /
BlockChain / Security / Pen Test

Esse é um dado assinado da autoridade emissora do certificado que contém o status de revogação do certificado em um determinado momento.

A AC (Autoridade Certificadora) pode usar a mesma chave para assinar o OCSP usada para assinar certificados, mas há situações em que isso não é desejável.

Nesses casos, a especificação do OCSP permite que uma AC delegue a assinatura para um respondente do certificado emitindo um certificado com um atributo especial; o EKU id-kp-OCSPSigning. Os assinantes devem ser usados ​​para esse único objetivo; assinando OCSP.

Há um requisito adicional para delegação; os requisitos da linha de base do CAB Forum especificam que esses certificados “DEVEM conter uma extensão do tipo id-pkix-ocsp-nocheck”. 

Isso ocorre porque um assinante do OCSP não deve ser válido para verificar seu próprio status; caso contrário, no caso de comprometimento da chave, um invasor poderá assinar seu próprio token OCSP “válido”, mesmo após a autoridade revogar o certificado.

Para resumir, se uma CA deseja que um certificado seja usado para assinar respostas do OCSP em seu nome, deve fazer o seguinte:

• Defina o EKU id-kp-OCSPSigning

• Incluir a extensão id-pkix-ocsp-nocheck

Se uma autoridade de certificação não quiser que um certificado seja usado para assinar respostas do OCSP em seu nome, faça o seguinte:

• Deixe o EKU id-kp-OCSPSigning desabilitado

Os certificados emitidos incorretamente tinham o EKU id-kp-OCSPSigning definido, mas a AC emissora não pretendia ser usada para assinar suas respostas. 

Nenhum desses certificados tem a extensão id-pkix-ocsp-nocheck presente (e, portanto, viola os Requisitos de linha de base do CAB Forum).

Muitos desses certificados eram para organizações que não a AC de emissão, o que significa que a AC de emissão inadvertidamente deu a outra organização a capacidade de assinar respostas do OCSP em nome da AC.

Vários certificados intermediários de AC serão revogados porque foram emitidos incorretamente. Isso significa que todos os certificados emitidos por essas ACs não serão mais confiáveis. 

Se você tiver um dos certificados afetados em produção, planeje substituí-los com urgência. Esse problema foi relatado pela primeira vez em 1º de julho e as autoridades de certificação são obrigadas a agir dentro de sete dias.

 Conclusão

Se você for afetado pelo problema com o OCSP, é melhor renovar esses certificados com antecedência, evitando possíveis problemas com a disponibilidade na linha. Você deve entrar em contato com as ACs que emitiram os certificados para descobrir o que planejam fazer e quando.

Criptografia Homomórfica. Por Adriano Frare

Como o Google faz o gerenciamento do ciclo de vida do certificado. Por Adriano Frare

O que é transparência de certificado? Por Adriano Frare

Confira a coluna do Adriano Frare explore outras novidades!

  Explore outros artigos!