Últimas notícias

Fique informado
Certificado digital e a importância da lista de revogação. Por Adriano Frare

Certificado digital e a importância da lista de revogação. Por Adriano Frare

5 de fevereiro de 2020

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

10 ferramentas online para testar SSL, TLS e vulnerabilidades

A verificação da vulnerabilidade do SSL e TLS são necessárias para garantir que os parâmetros de certificado estejam corretamente configurados.

15 de janeiro de 2020

É possível abrir uma empresa com Certificado Digital? – Ouça

O cenário da Certificação Digital se expandiu significativamente nos últimos anos e o uso do certificado introduz uma nova dinâmica no mercado.

6 de janeiro de 2020

Marcelo Buz publica vídeo em que fala sobre a modernização do certificado digital no Brasil

O ITI vem cada vez mais se modernizando e com inovações sendo aprovadas, Marcelo Buz fala sobre a atual situação do certificado digital.

5 de dezembro de 2019

LCR fora do ar suspende a utilização dos certificados digitais ICP-BRASIL

O Instituto Nacional de Tecnologia da Informação (ITI) divulgou ontem

8 de maio de 2015

O que é LCR e OCSP

 LCR – Lista de Certificados Revogados Quando um certificado digital

9 de setembro de 2010

A importância da verificação da lista de certificados revogados (LCR) na validação do certificado

Por Adriano Frare

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

O uso de certificados digitais para autenticar sites e criptografar comunicações on-line não é tão seguro quanto geralmente se supõe, quando rotinas de verificação de certificados revogados não são implementadas ou parcialmente validadas.

As autoridades de certificação, são as entidades que distribuem certificados digitais, são responsáveis por manter atualizado e distribuir listas de certificados revogados.

A necessidade de todos os participantes do ecossistema de revogação, sejam as Autorizadas Certificadoras, empresas de desenvolvimento de aplicações e demais entidades, devem intensificar a maneira com que tratam da LCR e cumpram suas responsabilidades.

Os certificados digitais são um componente vital da infraestrutura de chave pública da Web. Eles são usados para autenticar sites e criptografar as comunicações entre um sistema cliente e um servidor. Se um site estiver comprometido ou a chave de criptografia privada associada a um certificado digital for exposta, o certificado deverá ser revogado para que outras pessoas não possam usá-lo para se passar por ele ou espioná-lo.

Normalmente, o administrador do site é solicitado a solicitar à autoridade de certificação que revogue o certificado comprometido e, em seguida, emita um novo. Ocorre que os administradores da Web que se esforçam para obter um novo certificado, mas geralmente não conseguem atualizar todos os seus sistemas com o novo certificado. O que pode causar o comprometimento da segurança da sua infraestrutura.

Um certificado revogado normalmente não deve apresentar uma mensagem de segurança porque os navegadores devem verificar se um certificado é válido antes de aceitá-lo. As autoridades de certificação distribuem o que é conhecido como LCRs (listas de revogação de certificados) que os navegadores devem verificar antes de confiar ou rejeitar um certificado.

Um motivo pode ser o tamanho das LCRs mantidas pelas diferentes autoridades de certificação. “A verificação adequada de um certificado digital exige que a aplicação baixe a CRL antes de estabelecer completamente a conexão SSL”. Porém, como as LCRs geralmente são relativamente grandes, o download delas pode apresentar problemas de latência, especialmente no caso de ambientes móveis com restrição de largura de banda.

Algumas Autoridades Certificadoras começaram a usar várias LCRs para manter suas listas pequenas, mas muitas continuam usando grandes LCRs volumosas que podem causar problemas nas aplicações no momento da validação.

Para que a revogação do certificado digital funcione da maneira pretendida, administradores da Web, Autoridades Certificadoras, fabricantes de navegadores e fornecedores de aplicação que utilizam a tecnologia de certificação digital, precisam cumprir suas responsabilidades.

 

Os desafios de segurança no IoT. Por Adriano Frare

10 ferramentas online para testar SSL, TLS e vulnerabilidades

Quer confirmar o local onde pretende fazer a validação do certificado digital ICP-Brasil?

LCR fora do ar suspende a utilização dos certificados digitais ICP-BRASIL

O que é LCR e OCSP

 

Navegue mais em nosso portal, você com certeza vai gostar!

  Explore outros artigos!