LCR – Lista de Certificados Revogados
Quando um certificado digital é emitido, um período de validade de uso é definido. Entretanto, sob diversas circunstâncias, um certificado digital pode tornar-se inválido antes de sua data de expiração e ser revogado pelo seu proprietário.
Como saber o status dos certificados? O usuário não precisa se preocupar como é feita a verificação, porque ao utilizar seu certificado o sistema operacional consulta automaticamente a Autoridade Certificadora emissora do certificado para verificar seu status.
Cada Autoridade Certificadora publica sua lista de certificados digitais revogados.
A LCR é publicada em um repositório público e a cada período de publicação a lista é assinada e selada: Assinada digitalmente por um certificado digital da Autoridade Certificadora correspondente e recebe um Carimbo do Tempo.
O tempo de publicação das LCRs dependerá da política de cada tipo de certificado e de cada Autoridade Certificadora. O padrão atual é a LCR atualizada e publicada de hora em hora, mas existem casos em que são atualizadas uma vez ao dia.
A verificação feita em tempo real é chamada OCSP – Online Certificate Status Protocol. Segue os mesmos critérios de publicação do LCR, mas a publicação da revogação é feita em tempo real.
O Protocolo Online Certificate Status (OCSP) é um protocolo de Internet utilizado para a obtenção do status de revogação de um X.509 certificado digital. É descrito no RFC 2560 e segue os padrões da Internet. Foi criado como uma alternativa para LCR Listas de Revogação de Certificado (CRL), especificamente abordando alguns problemas associados ao uso de LCR em uma infra-estrutura de chave pública (PKI).
Mensagens transmitidas via OCSP são codificados em ASN.1 e geralmente são transmitidas por HTTP. O “pedido / resposta ” dessas mensagens conduz aos servidores com o protocolo OCSP sendo denominado “OCSP responders”.
Uma vez que uma resposta do protocolo OCSP contém menos informação do que a LCR (Lista de Certificados Revogados), a consulta via OCSP permite informações atualizadas em tempo real sobre o estado de revogação de um certificado, sem sobrecarregar a rede.
A consulta a LCR e OCSP impede que certificado digital sem validade seja utilizado
Normalmente o serviço de verificação que utiliza o protocolo OCSP é exigido pelo mercado financeiro, ou seja, algumas aplicações dos bancos de investimento só aceitam certificados de Autoridades Certificadoras que utilizam este protocolo.
Além dos bancos, outros segmentos deveriam avaliar o risco do “delay” gerado entre cada atualização da LCR para entender suas necessidades em relação aos certificados baseados na política de verificação. Neste caso entre o protocolo OSCP e a LCR.
Em breve acredito que o padrão seja mesmo o protocolo OSCP, mas isso será uma decorrência da demanda dos desenvolvedores de aplicações com uso de certificados digitais. Assim como, acredito que seja disponibilizado no futuro serviços de consultas online a bancos de LCRs e OCSP com datas retroativas, no dia e hora que for conveniente aos interessados.
Hoje* a maioria dos serviços só possibilitam consultas às listas atualizadas.
*verifique a data da publicação da matéria.
Certificado digital e a importância da lista de revogação. Por Adriano Frare
