Revogação dos
Certificados
Certificados são só úteis enquanto eles
são válidos. É inseguro assumir simplesmente que um certificado sempre é válido. Na
maioria das organizações e em todas PKIs, certificados têm um tempo de vida restrito.
Certificados são então criados com um
período de validez marcado: um começo data/tempo e um vencimento data / tempo. É
esperado que o certificado seja utilizável por todo seu período de validez (sua vida).
Quando o certificado expira, já não será mais válido, como a autenticidade de seu par
chave/identificação. (O certificado pode continuar sendo usado seguramente para
reconfirmar informação que foi encriptada ou foi assinada dentro do período de validez)
Também há
situações onde é necessário invalidar um certificado antes da sua data de vencimento,
como quando o possuidor do certificado perde o emprego na companhia ou suspeita-se que o
chave privada correspondente ao certificado está comprometida. Isto é chamado de
revogação. Um certificado revogado é muito mais suspeito que um certificado expirado.
Certificados expirados são não usáveis, mas não levam a mesma ameaça de
comprometimento como um certificado revogado.
Qualquer um que assinou um certificado pode
revogar a assinatura dela/ou dela no certificado (contanto que ele ou ela usem a mesma
chave privada que criou a assinatura). Uma assinatura revogada indica que quem assinou já
não acredita que a chave pública e a informação de identificação pertencem ao mesmo,
ou que a chave pública do certificado (ou a chave privada correspondente) foi
comprometida.
Com certificados X.509, uma assinatura revogada
é praticamente igual a um certificado revogado dado que a única assinatura no
certificado é a que fez esta válida em primeiro lugara assinatura do CA.
Certificados de PGP provêem uma característica a mais de que você pode revogar seu
certificado inteiro (não só as assinaturas nesta) se você sentir que o certificado
ficou comprometido.
Somente o dono do certificado (o possuidor da
sua correspondente chave privada) ou alguém de quem o dono do certificado designou como
sendo um revogador podem revogar um certificado de PGP. Só o emissor do certificado pode
revogar um certificado X.509.
Comunicando que um certificado foi revogado
Quando um certificado é revogado, é
importante fazer os usuários potenciais do certificado ficarem atentos que isto não é
mais válido por muito tempo. Com certificados de PGP, o modo mais comum para comunicar
que um certificado foi revogado é postar isto em um servidor de certificado assim outros
que possam desejar comunicar com você é advertido para não usar aquela chave pública.