Lista de revogação de certificados – o guia completo

Atualizado em por Dionisie Gitlan

Bem-vindo ao guia essencial sobre Listas de revogação de certificados (LCRs), um aspecto essencial da segurança on-line. Este guia vai eliminar o jargão e ir direto ao ponto.

Você já se perguntou o que acontece quando um certificado digital se torna não confiável? Pense nisso como uma bandeira vermelha no mundo digital, sinalizando possíveis riscos. Estamos aqui para explicar as CRLs: o que são, o que contêm e por que você deve se preocupar.

Forneceremos exemplos reais de certificados revogados, mostrando a você as consequências tangíveis de ignorar sua importância. Ao final deste guia, você compreenderá a importância das verificações regulares da LCR para manter a integridade dos certificados digitais.

Sem frescuras, apenas fatos. Vamos nos aprofundar no assunto. Então, o que é a LCR na segurança cibernética?

Índice

  1. O que é uma lista de revogação de certificados?
  2. Qual é o objetivo das listas de revogação de certificados?
  3. O que uma LCR inclui?
  4. Como funciona a LCR?
  5. Como visualizar o status de revogação do certificado

O que é uma lista de revogação de certificados?

Uma Lista de revogação de certificados, ou LCR, é essencialmente uma lista negra de certificados digitais desacreditados. Mantida por uma Autoridade de Certificação (CA), essa lista contém todos os certificados SSL que a CA revogou antes de suas datas de expiração programadas. Esse processo também é conhecido como revogação de certificado de PKI.

Quando você está navegando on-line, seu navegador está constantemente verificando essa lista. Se ele encontrar um certificado na CRL, não confiará no site ou no serviço associado a esse certificado. É uma medida de segurança essencial que ajuda a garantir a integridade da transmissão de dados on-line.

Mas, em primeiro lugar, por que as ACs revogariam um certificado? Pode haver vários motivos. Talvez a chave privada do certificado tenha sido comprometida ou a CA tenha emitido o certificado por engano. Independentemente do motivo, quando um certificado está na LCR, ele não é mais confiável.

Para garantir a eficácia dessa medida de segurança, as CAs devem atualizar regularmente a CRL e torná-la facilmente acessível aos sistemas dos usuários. Essa é uma das principais responsabilidades da Autoridade Certificadora. Eles também devem fornecer um mecanismo para que os usuários verifiquem o status de revogação dos certificados, normalmente por meio de um serviço on-line.

Qual é o objetivo das listas de revogação de certificados?

A LCR é uma ferramenta que aprimora a segurança on-line, gerenciando e mantendo o controle de certificados inseguros que podem comprometer a segurança de um sistema. Sua finalidade é fornecer um sistema rigoroso de verificação e equilíbrio, sinalizando qualquer certificado questionável para evitar possíveis ataques cibernéticos.

Ao compreender a função da CRL, você pode gerenciar melhor sua estrutura de segurança digital. Aqui estão alguns pontos importantes a serem observados:

  • As LCRs contêm certificados que não são mais válidos.
  • Atualizações regulares da CRL são necessárias para manter o controle de certificados inválidos.
  • O uso de LCRs reduz o risco de uso indevido de certificados.
  • Garantir a validade do certificado SSL por meio de CRLs é uma medida de segurança proativa.

Benefícios da CRL

A CRL oferece vários benefícios importantes:

  • Ele impede o acesso não autorizado, invalidando imediatamente os certificados comprometidos.
  • Ele é compatível com o protocolo de status de certificado on-line (OCSP), que verifica o status de um certificado digital.
  • Ele aprimora a segurança cibernética geral ao manter a integridade do certificado.
  • Ele reduz os possíveis riscos cibernéticos associados a certificados comprometidos ou expirados.
  • Ele garante um ambiente on-line seguro e confiável, promovendo a confiança.

Gerenciamento de certificados inseguros

Ao reforçar sua segurança on-line, é fundamental entender a finalidade da LCR no gerenciamento de certificados inseguros.

Como você já sabe, uma LCR é uma lista de certificados de chave pública revogados pela Autoridade de Certificação emissora antes da expiração. Esses certificados, conhecidos como certificados não confiáveis, são invalidados por vários motivos, como comprometimento da chave privada ou se tiverem sido assinados de forma fraudulenta. Eles representam um risco significativo para sua segurança on-line.

Portanto, a LCR desempenha um papel fundamental na redução desse risco. Ele facilita a rápida identificação e rejeição de certificados não confiáveis, evitando o acesso de terceiros e possíveis violações de dados.

O que uma LCR inclui?

Uma LCR inclui elementos vitais, como o nome da autoridade de certificação, o tempo de atualização da lista e uma lista de certificados revogados, cada um com seu próprio número de série exclusivo e data de revogação.

  1. Número da versão: indica a versão do formato da LCR.
  2. Identificador do algoritmo de assinatura: Especifica o algoritmo usado pela CA para assinar a LCR.
  3. Emissor: identifica a entidade (geralmente uma autoridade de certificação) que emitiu a LCR.
  4. Esta atualização: indica a data de emissão da LCR.
  5. Next Update (Próxima atualização): Especifica quando a próxima LCR está programada para ser emitida. Até essa data, a LCR atual é considerada válida.
  6. Certificados revogados: Contém uma lista de certificados digitais que a CA revogou. Cada entrada inclui o número de série, a data de revogação e, às vezes, um código de motivo.
  7. Extensões: Informações ou recursos adicionais, como ponto de distribuição de LCR, identificador de chave de autoridade ou outras extensões personalizadas.

A LCR é atualizada periodicamente e distribuída pela AC para garantir que as partes confiantes (entidades que usam os certificados) possam acessar as informações mais recentes sobre os certificados revogados dentro de um período de tempo.

Como funciona a LCR?

Agora, vamos ver como a CRL funciona. As LCRs são distribuídas para pontos específicos, seguidas de uma verificação meticulosa de revogação. O tratamento de certificados revogados e a atualização regular da LCR são etapas cruciais para garantir a eficácia e a segurança do sistema.

Pontos de distribuição de CRL

Os pontos de distribuição de CRLs são uma parte central do funcionamento das CRLs. São servidores que armazenam e distribuem CRLs. Eles atuam como um hub para gerenciar e verificar o status dos certificados digitais.

O ponto de distribuição recebe atualizações da CA com relação ao status de revogação dos certificados. Sempre que um certificado é revogado, a CA atualiza o ponto de distribuição da LCR.

As entidades finais, como os navegadores, podem consultar o ponto de distribuição da LCR para verificar o status de revogação de um certificado. O ponto de distribuição transmite a LCR a todas as entidades que a solicitam.

Processo de verificação de revogação

Enquanto observamos a função dos pontos de distribuição de LCR, vamos nos aprofundar em como o processo de verificação de revogação, ou o funcionamento da LCR, realmente funciona.

Durante o processo de verificação de revogação de certificados, o sistema primeiro obtém a LCR de um ponto de distribuição especificado. Essa lista contém todos os certificados que foram revogados antes de suas datas de expiração.

Seu sistema faz uma verificação cruzada do certificado apresentado com essa lista. Se o certificado for encontrado na CRL, ele será considerado não confiável e a conexão será rejeitada. Esse processo garante que os certificados revogados não sejam erroneamente confiáveis, mantendo a segurança.

No entanto, é fundamental que a CRL seja mantida atualizada, pois informações desatualizadas podem comprometer a integridade do processo de verificação.

Manuseio de certificados revogados

Veja como funciona o processo da CRL:

  • A CA emite certificados e também mantém a CRL.
  • Se um certificado for comprometido, a CA o revogará.
  • A CA atualiza a LCR para incluir o número de série dos certificados revogados.
  • Quando um servidor recebe o certificado de um cliente, ele verifica a CRL.
  • O servidor rejeitará a conexão se o certificado do cliente estiver na CRL.

Atualização regular da CRL

O emissor da LCR emite atualizações periodicamente para manter a integridade e a confiabilidade da lista. Essa atualização regular elimina o risco de informações desatualizadas, o que poderia comprometer a segurança do seu sistema e dos dados confidenciais.

A atualização não é uma mera tarefa manual. Em vez disso, envolve um processo técnico complexo, ditado por protocolos específicos. Quando uma AC revoga um certificado, ela atualiza a CRL. Em seguida, a CRL é assinada digitalmente pelo emissor e distribuída a todas as entidades que dependem dela. Esse processo deve ser executado corretamente, pois erros podem levar a vulnerabilidades de segurança significativas.

Como visualizar o status de revogação do certificado

O acesso a uma LCR depende da autoridade de certificação específica que emitiu os certificados nos quais você está interessado. Normalmente, as LCRs são disponibilizadas pelas ACs em pontos de distribuição específicos, conforme especificado nos certificados.

Para encontrar o ponto de distribuição da LCR, você pode inspecionar o próprio certificado. Aqui está um guia geral para verificações de status de revogação de certificados:

Por meio dos detalhes do certificado em seu navegador

Se você tiver o arquivo de certificado, geralmente poderá abri-lo usando um visualizador de certificados ou um aplicativo que ofereça suporte à inspeção de certificados.

  1. Clique no ícone de cadeado ao lado do URL.
  2. Clique em Connection is secure (A conexão é segura ) e depois em Certificate is valid (O certificado é válido).
  3. Procure a extensão CRL Distribution Points (CDP).
  4. A extensão CDP contém um ou mais URLs que apontam para os locais onde as LCRs são publicadas.
  5. Abra a guia Details (Detalhes ) e, em Certificate Fields (Campos de certificado ), role para baixo até Extension (Extensão).
  6. Clique em Pontos de distribuição de CRL.
  7. No campo Value (Valor do campo), copie o URL e cole-o na barra de endereços.
  8. O navegador fará o download do arquivo CRL. Abra-o para ver as informações da lista de revogação.
Visualização da CRL no Chrome

Via OpenSSL

Veja a seguir um exemplo de como você pode usar o OpenSSL para recuperar uma CRL:

openssl crl -inform DER -in exampleca.crl -text

Substitua exampleca.crl pelo nome de arquivo ou URL real da LCR que deseja inspecionar.

Lembre-se de que algumas ACs podem fornecer LCRs por meio de mecanismos diferentes, como o LDAP (Lightweight Directory Access Protocol) ou outros protocolos. Além disso, algumas ACs podem oferecer serviços OCSP (Online Certificate Status Protocol) como alternativa às CRLs.

Se estiver trabalhando com uma CA específica, verifique a documentação ou o site dela para obter informações sobre como acessar os arquivos de CRL. Se estiver procurando apenas exemplos, algumas ACs fornecem amostras ou LCRs disponíveis publicamente para fins de teste, mas seja cauteloso e respeite os termos de uso associados a esses recursos.

PERGUNTAS FREQUENTES

Onde posso encontrar a lista de revogação de certificados?

Para executar uma verificação de certificado, o cliente se conecta aos URLs especificados pela autoridade de certificação para fazer download das listas de revogação de certificados. Essas listas contêm informações sobre certificados revogados. É possível encontrar os URLs da LCR nos Detalhes do certificado SSL, em Extensões de certificado, especificamente na seção Pontos de distribuição de LCR.

Como faço para criar uma lista de revogação de certificados?

Para criar uma LCR, use uma ferramenta ou um software de AC para gerar a lista, incluindo detalhes de certificados revogados e, em seguida, distribua a LCR para entidades que dependem dela para validação de certificados em um sistema de infraestrutura de chave pública (PKI).

Como faço para visualizar a lista de revogação de certificados no Windows?

No Windows, você pode visualizar a Lista de revogação de certificados (LCR) abrindo o Gerenciador de certificados por meio do comando “certmgr.msc”, navegando até a pasta “Listas de revogação” e selecionando a LCR desejada para visualizar seus detalhes. Como alternativa, você pode usar o comando “certutil” no prompt de comando com a opção “-urlcache” seguida do URL da CRL para exibir informações sobre a CRL.

Qual é a diferença entre CRL e OCSP?

Ambos os métodos são usados na segurança cibernética para verificar se um certificado digital, como os usados em HTTPS, ainda é válido. A principal diferença está em como eles fornecem essas informações: A CRL usa uma lista atualizada periodicamente de certificados revogados, enquanto a OCSP consulta diretamente uma autoridade de certificação em tempo real para confirmar o status de um certificado.

Quem está verificando o status de revogação do certificado?

A responsabilidade de verificar o status de revogação do certificado recai sobre o cliente (navegador). É dever do navegador verificar se um certificado foi revogado antes de estabelecer uma conexão.

O que acontece com um certificado revogado?

Quando um certificado é revogado, isso significa que ele não é mais considerado válido. As partes confiáveis, como os navegadores, consequentemente rejeitarão conexões baseadas nesse certificado, aumentando a segurança e reduzindo os possíveis riscos.

Conclusão

Em conclusão, uma Lista de revogação de certificados ajuda a manter a segurança da comunicação digital invalidando prontamente os certificados comprometidos ou revogados. Sua implementação eficaz garante a integridade e a confiabilidade das transações e comunicações on-line. À medida que a tecnologia evolui, o refinamento contínuo da CRL nos mecanismos de segurança cibernética continua sendo imperativo para manter as estruturas de segurança digital robustas.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Economize 10% agora!
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.

Posts relacionados
O que é um pacote de CA em SSL e como criá-lo?
Certificados raiz e intermediários – qual é a diferença?
O que é uma autoridade de certificação e como as CAs funcionam?
O que é um registro CAA e como ele funciona?
O que é uma garantia de certificado SSL e como ela funciona?