0
1
0
1
1
0
1
0

Assinatura Digital, Autenticação e Criptografia. > blog > 6 problemas gerados por gerenciamento do ciclo de vida dos certificados digitais

6 problemas gerados por gerenciamento do ciclo de vida dos certificados digitais

6 problemas gerados por gerenciamento do ciclo de vida dos certificados digitais

Recentemente em nosso blog estivemos falando sobre o grande desafio que é fazer o gerenciamento do ciclo de vida dos certificados digitais. Assim como o forte impacto gerado quando ocorre a perda dos certificados digitais junto com o par de chaves para uma empresa.

Abordamos vários aspectos importantes que devem ser prioritários para as organizações, principalmente aquelas que detêm muitas chaves de criptografia.

Seguindo ainda este importante tema, queremos abordar neste artigo o que pode acontecer quando não são aplicadas às boas práticas de gerenciamento do ciclo de vida dos certificados digitais.

Entenda como acontece um ciclo de vida completo de um certificado digital até os problemas de gerenciar múltiplos certificados digitais.

Relembrando alguns conceitos fundamentais do gerenciamento do ciclo de vida dos certificados digitais

Um certificado digital, como você sabe, nada mais é que um “passaporte” eletrônico que permite que uma pessoa, computador ou organização troque informações seguras através da Internet utilizando uma infraestrutura de chaves públicas (PKI).

E como um documento, a exemplo do passaporte, o certificado digital fornece informações de identificação, é resistente a falsificações e pode ser verificado porque foi emitido por um órgão certificador, conhecido como Autoridade Certificadora ou AC que são confiáveis e seguras.

E após um processo de validação, os sistemas operacionais e navegadores mantêm listas destes certificados digitais para que possam ser verificados facilmente sempre que necessário. Sempre observando as autoridades que emitiram e assinaram.

Com isso, atendemos a vários requisitos de segurança e de conformidade regulamentar. Diminuindo assim, incidentes de segurança, de roubo e de exposição de dados.

Logo após termos refrescado a memória sobre a importância e o uso de um certificado digital, podemos até pensar que gerenciamento do ciclo de vida do certificado digital é algo simples, principalmente quando estamos falando de poucos certificados digitais.

Porém, a compra de certificados digitais pode ser um processo complexo. Principalmente quando falamos de certificados digitais de chave criptográfica.

É preciso considerar vários aspectos quanto ao processo de criação, armazenamento e uso dos certificados digitais.

Lembramos mais uma vez o fato que temos um “passaporte” que servirá de porta de entrada para acesso a dados sensíveis da organização, funcionários e clientes.

O gerenciamento do ciclo de vida dos certificados digitais na prática

Basicamente, o ciclo de vida de um certificado digital passa pelas seguintes etapas:

Etapa de requisição

É nesse momento onde é feita a requisição para uma autoridade certificadora, seja ela interna da organização ou mesmo externa e é a partir daí, que o certificado digital é gerado.

O processo de requisição, de forma bem simples, consiste na apresentação dos documentos necessários em uma entidade de registro (AR) credenciada, que fará a validação e emissão dos certificados digitais.

De forma geral os passos deste processo são os seguintes:

  1. A geração do par de chaves;
  2. A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);
  3. A solicitação do certificado digital é enviada à autoridade certificadora através de um arquivo CSR;
  4. Após o recebimento do arquivo do certificado digital, ocorre a associação do certificado digital recebido com a chave privada RSA gerada no primeiro passo.

Vale destacar que estamos apresentando de forma simplificada o gerenciamento do ciclo de vida dos certificados digitais, mas temos todo um processo de assinatura que envolve criptografia e o uso de chaves públicas e privadas que garantem a segurança dos certificados digitais.

Etapa do uso

Aqui está o propósito principal dos certificados digitais. É nesse ponto que definimos onde eles são usados e gerenciados, sendo necessário a utilização de dispositivos, caso sejam armazenados em hardware.

Ou ainda, caso sejam utilizados arquivos de configuração que precisam de um cuidado especial nas situações em que estejam armazenados em software.

O mais importante nesse processo de aquisição é ter a certeza das necessidades da aplicação que utilizará o certificado digital e quais as exigências da AC para a emissão do certificado digital.

Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor às suas necessidades e que facilite o seu trabalho, pois existem diversos sistemas que podem auxiliá-lo em todo o processo de geração dos certificados digitais.

Certificado Digital na mão, o que pode dar errado?

Evoluímos para um processo que hoje em dia é fácil obter um certificado digital, o procedimento é simples, rápido e seguro.

Mas chegamos ao ponto mais importante de nosso artigo, e para as organizações com uma alta demanda de chaves criptográficas, quais são as questões mais críticas para realizar o gerenciamento do ciclo de vida dos certificados digitais?

6 problemas gerados pelo gerenciamento do ciclo de vida dos certificados digitais

Para realizar o gerenciamento do ciclo de vida dos certificados digitais de forma eficiente surgem questões que podem se tornar grandes problemas para as empresas:

  1. Quem tem a senha que protege o certificado digital?
  2. Quem verifica quando o certificado digital irá expirar?
  3. Como gerenciar múltiplos certificados? Imagine por exemplo como será gerenciar 30 ou mais certificados digitais.
  4. Quais as políticas de segurança da informação que direcionam a organização para que as chaves dos certificados digitais não vazem, ou sejam comprometidas?
  5. Como está definido a política de segurança da informação para o gerenciamento do ciclo de vida dos certificados digitais?
  6. Em caso de vazamento de informações as chaves estão seguras?

Para se ter uma ideia do impacto do ciclo de vida dos certificados digitais vejamos como exemplo a perda da validade.

O certificado digital pode perder a validade por dois motivos:

  • Perda da validade pelo vencimento do certificado digital:
    Quando o certificado digital chega ao seu fim de vida isso significa a data de expiração.

Geralmente os certificados digitais têm de 1 a 3 anos de validade e que são determinados pelas ACs ou por organizações que as ACs se submetem, no caso do Brasil o ITI regulamenta pela ICP-Brasil.

  • Perda da validade pela revogação do certificado digital:
    Quando se perde um certificado digital, ou ele é roubado, ou qualquer outro motivo que comprometa a integridade do certificado digital o mesmo deve ser revogado para que todos saibam que ele não é mais válido.

Agora vamos fazer uma provocação, quero que você pense nos seis pontos que foram descritos acima e que identificamos como potenciais problemas na gestão do ciclo de vida dos certificados digitais.

Além disso, pense nesse momento em como responder cada pergunta que foi apresentada e vá além. Imagine os desafios e riscos para uma empresa que trabalha com muitos certificados digitais.

Por fim, pare para pensar nos impactos financeiros e de credibilidade que podem ocorrer se um gestor e seu time de TI não estejam perfeitamente alinhados em seus processos e políticas de segurança.

Fica aqui o ponto de reflexão e o convite para continuar acompanhando nosso blog e também nosso perfil do Linkedin. Essa é uma discussão extensa e um grande desafio para as empresas. Tem alguma dúvida sobre gerenciamento do ciclo de vida dos certificados digitais? Deixe seu comentário.