A autenticação baseada em certificado verifica a autenticidade de um certificado – identidade de certificado, expiração, autoridade de emissão de certificados e status de revogação – com uma autoridade de validação para ter certeza de que o certificado pode ser confiável. Se o certificado puder provar sua identidade, ele será validado.
Revogar a validade do certificado para manter a segurança de IoT
Os certificados de IoT têm validade ou vida útil estabelecida com a expectativa de que serão utilizados durante todo esse período. Às vezes, no entanto, é necessário revogar um certificado antes de sua data de validade programada. Isso pode acontecer por muitas razões, incluindo:
- um dispositivo sendo aposentado antes do certificado expirar
- uma mudança de nome da empresa ou da linha de produtos
- uma chave privada perdida ou roubada que compromete a segurança
Empregue métodos de autenticação CRL ou OCSP para garantir a validade do certificado
Quando uma revogação de certificado é necessária, a Autoridade de Validação de IoT da GlobalSign revoga a confiança do certificado, através do uso de uma lista de revogação de certificado (CRL) ou do Protocolo de Status de Certificado On-Line (OCSP).
A CRL é um registro de certificados digitais, atualizados em intervalos regulares, que foram revogados pela Autoridade de Certificadoras (CA), e funcionam como uma lista negra. As solicitações GET são feitas no servidor de lista GlobalSign, que retorna a lista de certificados revogados. Se o certificado em questão aparecer no CRL, ele não poderá ser autenticado e não deve ser confiável.
O OCSP é um método mais dinâmico de validação, que determina o status atual de um certificado digital sem exigir CRL. Aplicativos ou clientes OCSP abrem chamadas em nosso respondente OCSP gerenciado pela GlobalSign, que verifica e confirma os dados do certificado, e responde imediatamente com confirmação ou negação da autenticação do certificado.