Revogação de Certificado Digital

A revogação do certificado digital é fundamental para PKI segurança. Saiba por que isso é importante e como gerenciá-lo em nosso artigo.

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

O que é revogação de certificado digital?

A revogação de certificado digital é o processo de invalidar um certificado digital antes de sua data natural de expiração. Isso normalmente é feito quando o certificado não é mais confiável para fornecer comunicações seguras.

Por que é importante: A revogação ajuda a manter a segurança geral do PKI ecossistema, garantindo que certificados comprometidos ou desatualizados não sejam usados ​​para comunicações seguras.

Por que revogar um certificado?

Existem vários motivos pelos quais um certificado pode precisar ser revogado:

  1. Chave privada comprometida: Se a chave privada associada ao certificado tiver sido roubada ou acessada por partes não autorizadas, o certificado deverá ser revogado imediatamente para evitar possível uso indevido.
  2. Alteração nas informações do certificado: Se houver alterações significativas nas informações do certificado (por exemplo, alteração do nome da empresa, alteração do nome de domínio), o certificado deverá ser revogado e um novo emitido com as informações atualizadas.
  3. Cessação de operações: Se a organização ou entidade proprietária do certificado cessar as operações ou não precisar mais do certificado, ele deverá ser revogado.
  4. Substituído por um novo certificado: Em alguns casos, um novo certificado pode ser emitido para substituir um existente antes de seu vencimento. O antigo certificado deve ser revogado para manter a clareza e evitar potenciais conflitos.
  5. Emissão incorreta: Se um certificado foi emitido por engano ou sem validação adequada, ele deverá ser revogado para manter a integridade das operações da CA.

Cenário de exemplo: uma empresa descobre que um funcionário com acesso à sua chave privada deixou a organização em circunstâncias desfavoráveis. Para garantir a segurança das suas comunicações, devem revogar imediatamente o certificado atual e emitir um novo com uma nova chave privada.

Como verificar se um certificado foi revogado?

Existem dois métodos principais para verificar o status de revogação de um certificado:

1. Lista de Revogação de Certificados (CRL):

  • Uma CRL é uma lista de certificados revogados mantida pela Autoridade de Certificação (CA).
  • Os clientes baixam a CRL periodicamente e a verificam em relação ao certificado em questão.
  • Prós: Pode ser armazenado em cache localmente, reduzindo o tráfego de rede.
  • Contras: pode não estar atualizado entre as atualizações, pode tornar-se grande e pesado.

2. Protocolo de status de certificado online (OCSP):

  • OCSP permite verificações de status de certificados em tempo real.
  • Os clientes enviam uma solicitação a um respondente OCSP para verificar o status de um certificado específico.
  • Prós: Fornece status em tempo real, mais eficiente do que baixar CRLs inteiras.
  • Contras: Requer conectividade de rede para cada verificação, possíveis preocupações com privacidade.

Como realizar uma verificação:

Para CRL:

  1. Localize o ponto de distribuição da CRL no certificado (geralmente na extensão “Pontos de Distribuição da CRL”).
  2. Baixe a CRL do URL especificado.
  3. Verifique se o número de série do certificado está listado na CRL.

Para OCSP:

  1. Encontre o URL do respondente OCSP no certificado (normalmente na extensão “Acesso às informações da autoridade”).
  2. Envie uma solicitação OCSP ao respondente com as informações do certificado.
  3. Receba e interprete a resposta OCSP.

Muitos sistemas operacionais e navegadores realizam essas verificações automaticamente ao encontrar um certificado.

Quem pode revogar um certificado?

Normalmente, duas entidades podem revogar um certificado digital:

1. Autoridade Certificadora (CA):

  • A CA que emitiu o certificado tem autoridade para revogá-lo.
  • As CAs podem revogar certificados por vários motivos, incluindo suspeita de comprometimento, violações de políticas ou a pedido do proprietário do certificado.

2. Proprietário do certificado:

  • A organização ou indivíduo para quem o certificado foi emitido pode solicitar a revogação.
  • Isso geralmente é feito através de um portal ou interface fornecida pela CA.

Processo para proprietários de certificados:

  1. Faça login no portal de gerenciamento de certificados da CA.
  2. Localize o certificado a ser revogado.
  3. Selecione a opção de revogação e forneça um motivo.
  4. Confirme a solicitação de revogação.
  5. A CA processa a solicitação e atualiza suas listas de revogação.
  6. É crucial ter mecanismos adequados de autenticação e autorização para garantir que apenas solicitações legítimas de revogação sejam processadas.

O que acontece após a revogação?

Depois que um certificado é revogado, várias coisas ocorrem:

1. O certificado torna-se inválido:

  • O certificado não é mais considerado confiável para comunicações seguras.
  • Não deve ser usado para fins de criptografia, assinaturas digitais ou autenticação.

2. Os sistemas devem rejeitar o certificado:

  • Sistemas e aplicativos configurados corretamente verificarão o status de revogação e rejeitarão certificados revogados.
  • Isto impede o estabelecimento de conexões seguras usando o certificado comprometido ou inválido.

3. A informação de revogação é publicada:

  • A CA atualiza sua Lista de Revogação de Certificados (CRL) para incluir o certificado revogado.
  • Os respondentes OCSP são atualizados para relatar o status revogado quando consultados.

4. Potencial interrupção do serviço:

  • Os serviços que usam o certificado revogado podem ficar indisponíveis até que um novo certificado seja instalado.
  • É importante ter um plano para substituir rapidamente os certificados revogados para minimizar o tempo de inatividade.

5. Alertas de segurança:

  • Alguns sistemas podem gerar alertas ao detectar o uso de um certificado revogado.
  • Esses alertas podem ajudar os administradores a identificar e resolver possíveis problemas de segurança.

Melhores práticas após revogação:

  1. Remova imediatamente o certificado revogado de todos os sistemas e aplicativos.
  2. Instale um certificado novo e válido o mais rápido possível para restaurar comunicações seguras.
  3. Investigue o motivo da revogação e tome medidas de segurança apropriadas (por exemplo, alteração de senhas comprometidas, atualização de sistemas).
  4. Revise e atualize os processos de gerenciamento de certificados para evitar problemas semelhantes no futuro.

Conclusão

Compreender a revogação de certificados é crucial para manter um ambiente digital seguro. Ao revogar prontamente certificados comprometidos ou desatualizados e verificar adequadamente o status de revogação, as organizações podem melhorar significativamente sua postura de segurança cibernética e proteger comunicações confidenciais.

Lembre-se de que o gerenciamento de certificados, incluindo a revogação, é um processo contínuo. Auditorias regulares, políticas transparentes e ferramentas automatizadas podem ajudar a garantir que seus certificados digitais permaneçam válidos, confiáveis ​​e seguros.


Para obter mais informações sobre o grampeamento OCSP e como implementá-lo em seus servidores, leia nosso artigo, Otimização de carregamento de página: grampeamento OCSP. Para exemplos de mensagens de erro do navegador resultantes de certificados revogados, consulte este guia. Você pode verificar o status de revogação de um certificado em certificado.revogação.com. E, claro, se você tiver dúvidas sobre o OCSP ou qualquer outro tópico relacionado a PKI certificados digitais e digitais, entre em contato conosco por e-mail em Support@SSL.com, ligue para 1-SSL-SECURE ou simplesmente clique no botão de bate-papo no canto inferior direito desta página. Você também pode encontrar respostas para muitas perguntas de suporte comuns em nosso Base de Conhecimento. E, como sempre, obrigado por escolher SSL.com!

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.