Últimas notícias

Fique informado
Problemas no OCSP causa revogação de ACs Intermediárias. Por Adriano Frare

Problemas no OCSP causa revogação de ACs Intermediárias. Por Adriano Frare

14 de julho de 2020

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

QUIC com compactação na comunicação TLS

As implementações do QUIC agora enfrentam a decisão de atualizar ou não o código TLS incorporado para suportar a compactação de certificado.

24 de maio de 2020

Relatório de Segurança de 1 milhão de sites. Por Adriano Frare

O site CRAWLER.NINJA emitiu um relatório onde verificamos o aumento significativo do usos de sites utilizando HTTPS e criptografia forte.

24 de abril de 2020

Quando um sistema verifica o status de revogação de um certificado digital, normalmente usa algo chamado de token OCSP

Por Adriano Frare

Adriano Valério L. Frare – Pki consultant /
BlockChain / Security / Pen Test

Esse é um dado assinado da autoridade emissora do certificado que contém o status de revogação do certificado em um determinado momento.

A AC (Autoridade Certificadora) pode usar a mesma chave para assinar o OCSP usada para assinar certificados, mas há situações em que isso não é desejável.

Nesses casos, a especificação do OCSP permite que uma AC delegue a assinatura para um respondente do certificado emitindo um certificado com um atributo especial; o EKU id-kp-OCSPSigning. Os assinantes devem ser usados ​​para esse único objetivo; assinando OCSP.

Há um requisito adicional para delegação; os requisitos da linha de base do CAB Forum especificam que esses certificados “DEVEM conter uma extensão do tipo id-pkix-ocsp-nocheck”. 

Isso ocorre porque um assinante do OCSP não deve ser válido para verificar seu próprio status; caso contrário, no caso de comprometimento da chave, um invasor poderá assinar seu próprio token OCSP “válido”, mesmo após a autoridade revogar o certificado.

Para resumir, se uma CA deseja que um certificado seja usado para assinar respostas do OCSP em seu nome, deve fazer o seguinte:

• Defina o EKU id-kp-OCSPSigning

• Incluir a extensão id-pkix-ocsp-nocheck

Se uma autoridade de certificação não quiser que um certificado seja usado para assinar respostas do OCSP em seu nome, faça o seguinte:

• Deixe o EKU id-kp-OCSPSigning desabilitado

Os certificados emitidos incorretamente tinham o EKU id-kp-OCSPSigning definido, mas a AC emissora não pretendia ser usada para assinar suas respostas. 

Nenhum desses certificados tem a extensão id-pkix-ocsp-nocheck presente (e, portanto, viola os Requisitos de linha de base do CAB Forum).

Muitos desses certificados eram para organizações que não a AC de emissão, o que significa que a AC de emissão inadvertidamente deu a outra organização a capacidade de assinar respostas do OCSP em nome da AC.

Vários certificados intermediários de AC serão revogados porque foram emitidos incorretamente. Isso significa que todos os certificados emitidos por essas ACs não serão mais confiáveis. 

Se você tiver um dos certificados afetados em produção, planeje substituí-los com urgência. Esse problema foi relatado pela primeira vez em 1º de julho e as autoridades de certificação são obrigadas a agir dentro de sete dias.

 Conclusão

Se você for afetado pelo problema com o OCSP, é melhor renovar esses certificados com antecedência, evitando possíveis problemas com a disponibilidade na linha. Você deve entrar em contato com as ACs que emitiram os certificados para descobrir o que planejam fazer e quando.

Criptografia Homomórfica. Por Adriano Frare

Como o Google faz o gerenciamento do ciclo de vida do certificado. Por Adriano Frare

O que é transparência de certificado? Por Adriano Frare