Problemas no OCSP causa revogação de ACs Intermediárias. Por Adriano Frare
14 de julho de 2020Quando um sistema verifica o status de revogação de um certificado digital, normalmente usa algo chamado de token OCSP
Por Adriano Frare
Esse é um dado assinado da autoridade emissora do certificado que contém o status de revogação do certificado em um determinado momento.
A AC (Autoridade Certificadora) pode usar a mesma chave para assinar o OCSP usada para assinar certificados, mas há situações em que isso não é desejável.
Nesses casos, a especificação do OCSP permite que uma AC delegue a assinatura para um respondente do certificado emitindo um certificado com um atributo especial; o EKU id-kp-OCSPSigning. Os assinantes devem ser usados para esse único objetivo; assinando OCSP.
Há um requisito adicional para delegação; os requisitos da linha de base do CAB Forum especificam que esses certificados “DEVEM conter uma extensão do tipo id-pkix-ocsp-nocheck”.
Isso ocorre porque um assinante do OCSP não deve ser válido para verificar seu próprio status; caso contrário, no caso de comprometimento da chave, um invasor poderá assinar seu próprio token OCSP “válido”, mesmo após a autoridade revogar o certificado.
Para resumir, se uma CA deseja que um certificado seja usado para assinar respostas do OCSP em seu nome, deve fazer o seguinte:
• Defina o EKU id-kp-OCSPSigning
• Incluir a extensão id-pkix-ocsp-nocheck
Se uma autoridade de certificação não quiser que um certificado seja usado para assinar respostas do OCSP em seu nome, faça o seguinte:
• Deixe o EKU id-kp-OCSPSigning desabilitado
Os certificados emitidos incorretamente tinham o EKU id-kp-OCSPSigning definido, mas a AC emissora não pretendia ser usada para assinar suas respostas.
Nenhum desses certificados tem a extensão id-pkix-ocsp-nocheck presente (e, portanto, viola os Requisitos de linha de base do CAB Forum).
Muitos desses certificados eram para organizações que não a AC de emissão, o que significa que a AC de emissão inadvertidamente deu a outra organização a capacidade de assinar respostas do OCSP em nome da AC.
Vários certificados intermediários de AC serão revogados porque foram emitidos incorretamente. Isso significa que todos os certificados emitidos por essas ACs não serão mais confiáveis.
Se você tiver um dos certificados afetados em produção, planeje substituí-los com urgência. Esse problema foi relatado pela primeira vez em 1º de julho e as autoridades de certificação são obrigadas a agir dentro de sete dias.
Conclusão
Se você for afetado pelo problema com o OCSP, é melhor renovar esses certificados com antecedência, evitando possíveis problemas com a disponibilidade na linha. Você deve entrar em contato com as ACs que emitiram os certificados para descobrir o que planejam fazer e quando.
Criptografia Homomórfica. Por Adriano Frare
Como o Google faz o gerenciamento do ciclo de vida do certificado. Por Adriano Frare
O que é transparência de certificado? Por Adriano Frare