Ir para conteúdo
  • Cadastre-se

dev botao

  • Este tópico foi criado há 4304 dias atrás.
  • Talvez seja melhor você criar um NOVO TÓPICO do que postar uma resposta aqui.

Recommended Posts

Postado

O que é: LCR (Lista de Certificados Revogados)

 

 

 

Quando um certificado digital é emitido, um período de validade de uso é definido. 



Entretanto,
sob diversas circunstâncias, um certificado digital pode tornar-se
inválido antes de sua data de expiração e ser revogado pelo seu
proprietário.


 
Como saber o status dos certificados?

 
 O
usuário não precisa se preocupar como é feita a verificação, porque ao
utilizar seu certificado o sistema operacional consulta automaticamente a
Autoridade Certificadora emissora do certificado para verificar seu
status.



Cada Autoridade Certificadora publica sua lista de certificados digitais revogados. 



A sigla é LCR - Lista de Certificados Revogados



A LCR é publicada em um repositório
público e a cada período de publicação a lista é assinada e selada:
Assinada digitalmente por um certificado digital da Autoridade
Certificadora correspondente e recebe um Carimbo do Tempo.



O tempo de publicação das LCRs dependerá
da política de cada tipo de certificado e de cada Autoridade
Certificadora. O padrão atual é a LCR atualizada e publicada de hora em
hora, mas existem casos em que são atualizadas uma vez ao dia.

 
A verificação feita em tempo real é chamada OCSP -  Online Certificate Status Protocol. Segue os mesmos critérios de publicação do LCR, mas a publicação da  revogação é feita em tempo real.



O
Protocolo Online Certificate Status (OCSP) é um protocolo de Internet
utilizado para a obtenção do status de revogação de um X.509 certificado
digital. É descrito no RFC 2560 e segue os padrões da Internet. Foi
criado como uma alternativa para LCR Listas de Revogação de Certificado
(CRL), especificamente abordando alguns problemas associados ao uso de
LCR em uma infra-estrutura de chave pública (PKI).



Mensagens
transmitidas via OCSP são codificados em ASN.1 e geralmente são
transmitidas por HTTP. O "pedido / resposta " dessas mensagens conduz
aos servidores com o protocolo OCSP sendo denominado “OCSP responders”.



Uma vez
que uma resposta do protocolo OCSP contém menos informação do que a LCR
(Lista de Certificados Revogados), a consulta via OCSP permite
informações atualizadas em tempo real sobre o estado de revogação de um
certificado, sem sobrecarregar a rede.


A consulta a LCR e OCSP impede que certificado digital sem validade seja utilizado.



Normalmente o serviço de verificação que
utiliza o protocolo OCSP é exigido pelo mercado financeiro, ou seja,
algumas aplicações dos bancos de investimento só aceitam certificados de
Autoridades Certificadoras que utilizam este protocolo.



Além dos bancos, outros segmentos
deveriam avaliar o risco do “delay”  gerado entre cada atualização da
LCR para entender suas necessidades em relação aos certificados baseado
na política de verificação. Neste caso entre o protocolo OSCP e a  LCR.  



Em
breve acredito que o padrão seja mesmo o protocolo OSCP, mas isso será
uma decorrência da demanda dos desenvolvedores de aplicações com uso de 
certificados digitais. Assim como, acredito que seja disponibilizados
no futuro serviços de consultas online a bancos de LCRs  com datas
retroativas,  no dia e hora que for conveniente aos interessados. Hoje a
maioria dos serviços só possibilitam consultas à listas atualizadas.



Regina Tupinambá

Especialista em Certificação Digital

by IMATECH
[email protected]
Goiânia - GO.

  • Este tópico foi criado há 4304 dias atrás.
  • Talvez seja melhor você criar um NOVO TÓPICO do que postar uma resposta aqui.

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
×
×
  • Criar Novo...

Informação Importante

Colocamos cookies em seu dispositivo para ajudar a tornar este site melhor. Você pode ajustar suas configurações de cookies, caso contrário, assumiremos que você está bem para continuar.