O documento discute validações necessárias para certificados digitais, incluindo verificar datas de validade e revogação, cadeia de confiança, protocolos de validação de revogação como OCSP e CRL, e características de cada protocolo.

1. Validação de Certificados Digitais Natanael Fonseca Arquiteto de Software

3. Cadeia de Confiança Um certificado digital é um documento que associa uma chave publica a uma determinada entidade, este documento é assinado digitalmente pela chave privada de uma outra entidade, muitas vezes chamada de Autoridade Certificadora (AC). Dessa forma garante-se atraves do conceito de “Cadeia de confiança” a autenticidade das informações.

6. O que é LCR ? È Uma estrutura de dados assinada por uma AC contendo a lista de certificados que não devem ser considerados válidos. Normalmente o endereço onde este arquivo pode ser baixado, pode ser encontrado no próprio certificado. Pontos de distribuição.

9. CRL vs OCSP CARACTERÍSTICAS CRL OCSP Cadeia de Confiança Disponível localmente nas listas, sendo um arquivo para cada AC. Não necessita de acesso a cadeia, o servidor OCSP fica responsável pela atualização da cadeia de confiança. Recurso de Rede Necessário acesso a internet para download dos arquivos LCR. Quanto maior a taxa de atualizações, maior a necessidade de banda disponível. Necessário o acesso a internet. Requisições request/response com resposta quase imediata. Recursos de Armazenamento em Disco Rígido Necessário espaço em disco disponível para armazenamento dos arquivos. Tamanho total pode variar de acordo com a quantidades de ACs contempladas. Não é necessário armazenamento em disco algum. Recursos computacionais Necessário acesso a todos os registros de todas as listas da cadeia de confiança. Consumo alto de recursos computacionais. Consumo quase zero de recursos, somente requisição request/response. Lógica de validação Acesso de forma recursiva a cadeia de confiança, arquivo por arquivo. Requisição request/response com resposta quase imediata. Confiabilidade Necessário atualização constante das listas. Existe a possibilidade de um certificado estar revogado, porém a lista não ter sido atualizada a tempo, botando em risco a confiabilidade da assinatura. ACs responsáveis pela manutenção e atualização dos servidores OCSP. Muito improvável ter o serviço estar indisponível ou ter dados desatualizados. Disponibilidade no mercado Primeiro modelo de validação, disponível por praticamente todas as ACs. Tecnologia mais recente. Depende da AC ter implementado o serviço.