Em
um certificado digital naturalmente contém uma informação que é a cadeia de
certificação, sendo esta uma sequência de certificados, formada pelo caminho
percorrido desde a AC de primeiro nível, passando pelas ACs intermediárias até o
certificado do usuário final.
Normalmente a cadeia de certificação é
formada da esquerda para direita, e na verificação se determinado certificado
digital é confiável ou não, a certificação do usuário final só será verificada
se toda sua cadeia for validada anteriormente, se tudo ocorrer bem, então
pode-se dizer que tal certificado é um certificado válido. Faz parte da
verificação do certificado validar se cada certificado apresentado na cadeia é
de fato assinado pela AC sucessora, ou seja, assumindo o certificado do João
que fora emitido pela “AC Caixa PF” (Caixa Econômica Pessoa Física), e esta AC
têm um certificado emitido pela “AC CEF” (Caixa Econômica Federal) e ainda esta
AC têm um certificado emitido pela “AC ICP-Brasil” que é uma AC de primeiro
nível, então temos uma ilustração com a seguinte ilustração;
No decorrer da verificação do certificado
apresentado por João, primeiro será validado se a “AC ICP-BRASIL” é uma AC de
raiz válida, e então se o certificado de “AC CEF” é de válido e assinado pela
“AC ICP-BRASIL”, e da mesma maneira ocorrerá com o certificado “AC Caixa PF” e
o certificado de João, assim quando verificado toda a cadeia, então o
certificado de João é dado como válido e confiável.
A verificação ou validação de um
certificado e toda sua cadeia ainda passa por outros dois conceitos, a lista de certificados raízes confiáveis
e a lista de certificados revogados.
A lista de certificados raízes confiáveis é mantida por entidades de primeiro
nível confiáveis mundialmente e portanto conhecidas mundialmente, os softwares
que precisam fazer a verificação de certificados conhecem estas listas, os
próprios Sistemas Operacionais mantém estas listas em suas bases, e são
atualizados periodicamente em background, sem a interceptação dos usuários, a
plataforma Java, em especial a JVM (Java
Virtual Machine) conhece boa parte das listas de certificados e também as
atualiza em background, a exemplo dos vários Web Browsers. A lista dos
certificados revogados é mantida pelas ACs intermediárias e um certificado pode
ser revogado por motivos diversos, como a um extravio da senha secreta por
parte do devido portador do certificado, ou algo do gênero, enfim, a AC pública
periodicamente ou em emergência as listas dos certificados que foram revogados
antes da data de vencimento e não devem ser utilizados para efetivação de
assinaturas digitais, esta lista é bastante conhecida como CRL (certificate revocation list) ou no
português LCR do já dito lista de certificados revogados.
Nenhum comentário:
Postar um comentário
Obrigado por deixar seu comentário. Volte sempre.