Uma autoridade de certificação (CA) precisa estar on-line constantemente?

2

Uma autoridade de certificação precisa estar online o tempo todo para que todo o sistema funcione?

Por exemplo, se eu for para uma página da Web segura que use um certificado assinado por uma CA, receberei uma chave pública juntamente com o conteúdo da página da Web. Então, quando eu envio informações de volta para o servidor, elas são criptografadas com a chave pública que recebi e, finalmente, descriptografadas por meio das informações que enviei com sua chave privada e está tudo bem.

Existe algum ponto no procedimento que eu (o navegador / aplicativo) deve verificar através da Internet com a CA para garantir que o certificado seja real ou que a suposta chave pública realmente pertença ao site? Ou se eu tivesse confiado / aprovado a CA no passado, não é necessário outro teste?

Geralmente, uma CA precisa estar on-line o tempo todo para que todo o sistema de certificado / assinatura digital funcione?

    
por HappyDM 17.09.2010 / 05:38

1 resposta

3

A CA não precisa estar on-line. No entanto, o certificado público da CA pode apontar para um servidor da Web que tenha listas de revogação. Isso deve estar online.

A maioria das implementações tem uma lista de certificados públicos de CA instalados. Os usuários geralmente podem optar por confiar em um certificado, mesmo sem o certificado público de CA. O servidor da Web fornecerá seu certificado público, se necessário. Dependendo de sua configuração, ele pode enviar um ou mais certificados na cadeia para os certificados públicos da CA. Isso pode incluir o certificado da CA.

Esse mecanismo pode ser usado para outros protocolos baseados em TLS ou nas versões SSL mais antigas. Alguns outros protocolos comuns usando o TLS incluem LDAPS, STMPS e IMAPS. É comum que os servidores dos protocolos base suportem o StartTLS, no qual o TLS é iniciado na porta normal não criptografada.

EDIT: A maioria das CAs distribui os certificados por email ou WebSite. Estes precisam estar online. Não há necessidade de o certificado de assinatura estar em um sistema conectado à Internet. No entanto, é muito mais fácil evitar o Sneakernet e colocá-lo em um sistema conectado à Internet. Isso permite um retorno mais rápido da assinatura com menos intervenção manual. Como vimos, ele permite que a chave de assinatura seja roubada.

Em geral, a chave nunca precisa sair do sistema no qual é usada. Isso se aplica ao longo de toda a cadeia. O importante é proteger a chave, os certificados devem ser publicamente acessíveis para serem úteis. Colocar chaves no armazenamento removível seguro é uma opção, mas não sem seus próprios riscos.

Ter uma senha segura ajuda, mas para as autoridades de certificação que emitem altos volumes de certificados, a senha pode estar acessível a um script de assinatura. Isso facilita a obtenção da chave e da senha.

Manter a chave de assinatura de nível superior off-line e bloqueada em um cofre é possível. Uma chave de segundo nível pode ser usada para assinar certificados e seu certificado é fornecido como um certificado de cadeia. Recuperar-se da perda de uma chave de segundo nível é mais fácil do que recuperar-se da perda da chave de assinatura primária.

    
por 17.09.2010 / 06:28