Como no artigo passado falei um pouco sobre o CASC e a sua importância para a segurança da internet, acredito ser natural citar uma das suas iniciativas e apresentar um protocolo fundamental para a garantia da integridade e idoneidade de sites e serviços online.
Mas primeiramente é importante esclarecer o que é e para que serve os serviços de revogação de certificados digitais.
A revogação de certificados digitais é um mecanismo fundamental para a proteção dos titulares dos cerificados digitais e dos interessados em ter acesso aos serviços digitais prestados por estes ou validar a identidade digital destes titulares.
Imagine se, em decorrência de uma invasão aos servidores corporativos de uma empresa prestadora de serviços online, os seus certificados digitais são furtados e posteriormente utilizados em servidores falsos, destinados a se passar pelos legítimos e roubar dados dos seus clientes. Como essa empresa pode comunicar a todos sobre esse risco?
Outra situação possível seria, após o furto de um computador corporativo, certificados digitais destinados a assinatura de documentos eletrônicos caírem em mãos erradas. Como comunicar aos interessados que, a partir daquele momento, qualquer documento digital assinado com os certificados digitais perdidos deve ser desconsiderado e os titulares destes certificados digitais isentos de qualquer responsabilidade sobre o seu conteúdo?
A ação a ser adotada com o objetivo de comunicar de forma eficiente sobre os incidentes é solicitar a revogação dos certificados digitais e assim, após essa revogação, todos os interessados em verificar a situação destes certificados digitais serão notificados e poderão desconsiderar documentos eletrônicos assinados com estes ou finalizar qualquer comunicação estabelecida com os servidores maliciosos.
Atualmente existem dois métodos principais pelos quais a revogação pode ser comunicada, através da Lista de Certificados Revogados (LCR) ou do serviço Online Certificate Status Protocol (OCSP).
A LCR está descrita na RFC5280 e é uma lista, emitida pela Autoridade Certificadora (AC) e que contêm todos os certificados digitais emitidos por esta AC e revogados pelos seus titulares ou por entidades autorizadas.
A principal questão sobre o uso da LCR é a periodicidade para a sua emissão, pois cada AC ou Infraestrutura de Chaves Públicas (ICP) adota uma regra distinta sobre o intervalo para emissão da LCR, que pode variar de 1 hora a até 24 horas, dependendo da política adotada e esse intervalo está descrito na Declaração de Práticas de Certificação (DPC), que é um documento destinado a descrever às práticas dotadas por cada AC.
Assim, após a revogação do certificado digital o seu número serial é inserido na próxima LCR a ser pública pela AC e em algumas situações, esse intervalo de tempo entre a revogação do certificado digital e a comunicação através da LCR pode representar um grande risco às empresas.
Com o objetivo de reduzir o risco referente a esse intervalo de tempo entre a revogação e a comunicação aos interessados, foi desenvolvido o protocolo OCSP, que é um protocolo destinado a permitir a consulta sobre o estado de um certificado digital de maneira on-line e assim, é possível saber se um certificado digital deixou de ser válido logo após a sua revogação.
O protocolo OCSP está descrito na RFC2560 e as respostas são assinadas digitalmente pela AC responsável por sua emissão, impossibilitando que um atacante o substituía ou altere seu conteúdo.
Consequentemente, esse protocolo tem se tornado um grande aliado na adoção dos certificados digitais para autenticação de servidores, componentes web e qualquer outra necessidade que faça uso dos certificados digitais para garantir a origem e integridade de um elemento eletrônico.
Ainda é possível garantir a privacidade dos usuários que estão verificando a validade de um certificado digital utilizando uma importante extensão do protocolo TLS 1.2 e que está descrito na RFC6066.
Através dessa extensão, o usuário pode solicitar e já receber, durante o processo de estabelecimento da conexão TLS também conhecido como handshake, a resposta OCSP contendo o estado de revogação do certificado digital utilizado pelo servidor.
Esse mecanismo garante a privacidade do usuário e reduz o consumo de recursos de conectividade, pois o servidor onde o serviço está hospedado e que possui o certificado digital a ser verificado, já efetua a solicitação da resposta OCSP a AC responsável pelo certificado digital e envia essa resposta ao usuário durante o processo de conexão com o serviço. Essa técnica é conhecida também como OCSP Stapling.
Enxergando esses benefícios, o CASC tem investido esforços com o objetivo de educar a sociedade sobre a utilização do OCSP e, em parceria com as ACs, disponibilizar esse serviço às empresas usuárias da certificação digital.
O CASC também tem atuando junto com as empresas desenvolvedoras de software, e que permitem a utilização dos certificados digitais para a proteção dos seus usuários, para compatibilizar seus softwares com o protocolo OCSP, disponibilizando mais essa opção de verificação sobre a revogação dos certificados digitais.
Nesse momento, para a ICP-Brasil, o OCSP ainda não é um serviço obrigatório por parte das ACs, sendo a LCR a opção exigida para essas verificações. Acredito que em um momento próximo o Comitê Gestor da ICP-Brasil irá se pronunciar sobre os benefícios da migração para o OCSP e solicitar o apoio das ACs credenciadas para a transição e adoção deste protocolo.
Para os interessados em adquirir tecnologias que fazem uso dos certificados digitais na proteção das identidades e informações a recomendação é verificar a disponibilidade e compatibilidade com o OCSP e assim, se beneficiar da segurança proporcionada pelo protocolo nas consultas sobre a revogação dos certificados digitais utilizados.
Até a próxima!
Eder Alvares P. Souza
- Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
- Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
- Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
- Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.
- Eder é colunista e membro do conselho editorial do Instituto CryptoID.