Descrição de certificados digitais

Este artigo contém uma descrição de certificados digitais.

Informações gerais

O objectivo principal dos certificados digitais é assegurar que a chave pública contida no certificado pertence à entidade para a qual o certificado foi emitido.

As técnicas de encriptação através da utilização de chaves públicas e privadas requerem uma infra-estrutura de chaves públicas (PKI, public-key infrastructure) para suportar a distribuição e identificação de chaves públicas. Os certificados digitais incluem chaves públicas, informações sobre os algoritmos utilizados, dados sobre o proprietário ou sobre o sujeito da certificação, assinatura digital de uma autoridade de certificação que tenha verificado os dados do sujeito e o intervalo de datas em que o certificado pode ser considerado válido.

Sem os certificados, seria possível criar um novo par de chaves e distribuir a chave pública, alegando que se trata da chave pública para quase todas as pessoas. O utilizador poderia enviar dados encriptados com a chave privada e a chave pública seria utilizada para desencriptar os dados, mas não haveria qualquer garantia sobre a origem específica desses dados. O destinatário apenas saberia que tinha sido utilizado um par de chaves válidas.

Autoridades de certificação

Os certificados são assinados pela autoridade de certificação (AC) que os emite. Essencialmente, uma AC é uma entidade independente reconhecida como fidedigna à qual se confia a verificação da correspondência de chaves públicas com a identidade, nome de correio electrónico ou outras informações do género.

As vantagens dos certificados e das AC ocorrem quando duas entidades consideram fidedigna a mesma AC. Isto permite-lhes conhecer as respectivas chaves públicas através da troca de certificados assinados pela AC. Quando conhecerem a chave pública uma da outra, podem utilizá-las para encriptar dados e trocá-los entre si ou para verificar assinaturas de documentos.

Um certificado mostra que uma chave pública armazenada no certificado pertence ao sujeito desse certificado. Uma AC é responsável pela verificação da identidade de uma entidade requerente antes de emitir um certificado. A AC, em seguida, assina o certificado utilizando a respectiva chave privada, que é utilizada para autenticar o certificado. As chaves públicas da AC são distribuídas em pacotes de software como Web browsers e sistemas operativos ou também podem ser adicionadas manualmente pelo utilizador.

O software que foi concebido para tirar partido da PKI mantém uma lista das AC consideradas fidedignas.

Para visualizar a lista das AC consideradas fidedignas pelo Internet Explorer, utilize o método apropriado:

Internet Explorer 3.x

No menu Ver, clique em Opções, clique no separador Segurança e, em seguida, clique em Fabricantes.

Internet Explorer 4.x

No menu Ver, clique em Opções da Internet, clique no separador Conteúdo e, em seguida, clique em Fabricantes.

Internet Explorer 5

No menu Ferramentas, clique em Opções da Internet, clique no separador Conteúdo e, em seguida, clique em Certificados.

Uma lista das AC incluídas nos produtos da Microsoft está disponível no seguinte Web site da Microsoft:

Tipos de certificado

Existem quatro tipos de certificados digitais utilizados na Internet:

Certificados pessoais:

Estes certificados identificam indivíduos. Podem ser utilizados para autenticar utilizadores com um servidor ou para activar o correio electrónico seguro utilizando S-Mime. A Microsoft recomenda a exportação dos certificados pessoais para uma localização segura como medida de segurança no caso dos certificados se danificarem. Se um ficheiro de listagem de palavras-passe (.pwl) se danificar ou estiver em falta, o certificado não estará disponível para utilização e poderá receber uma mensagem de erro quando tentar enviar correio electrónico. Para obter mais informações sobre este problema, consulte os seguintes artigos na base de dados de conhecimento da Microsoft (Microsoft Knowledge Base):

Certificados de servidor:

Os certificados de servidor identificam os servidores que participam em comunicações seguras com outros computadores utilizando protocolos de comunicação como o SSL. Estes certificados permitem a um servidor comprovar a respectiva identidade aos clientes. Os certificados de servidor seguem o formato de certificado X.509 que é definido pelas normas de criptografia de chave pública (PKCS, Public-Key Cryptography Standards).

Certificados de fabricante de software:

O Authenticode da Microsoft não garante que os códigos assinados sejam seguros para serem executados, mas antes informa o utilizador se o fabricante participa numa infra-estrutura de fabricantes e ACs fidedignos. Estes certificados são utilizados para assinar software a ser distribuído através da Internet.

O Authenticode requer um certificado de fabricante de software para assinar o Microsoft ActiveX e outros códigos compilados. O Internet Explorer também tem a capacidade de considerar fidedigno software assinado com um certificado do fabricante.

Para visualizar uma lista de fabricantes de software fidedignos no Internet Explorer, clique em Opções da Internet, no menu Ferramentas, clique no separador Conteúdo e, em seguida, clique em Fabricantes. também poderá remover fabricantes fidedignos clicando em Remover, neste ecrã.

Certificados de autoridades de certificação:

O Internet Explorer 5 divide as AC em duas categorias, autoridades de certificação de raiz e autoridades de certificação intermediárias. Os certificados de raiz são auto-assinados, isto é, o sujeito do certificado é também o assinante do certificado. As autoridades de certificação de raiz podem atribuir certificados para as autoridades de certificação intermediárias. Uma autoridade de certificação intermediária pode emitir certificados de servidor, certificados pessoais, certificados de fabricante ou certificados para outras autoridades de certificação intermediárias.

Por exemplo, se clicar em Certificados, no separador Conteúdo da caixa de diálogo das propriedades do Internet Explorer, é apresentada uma lista dos certificados instalados no computador. Existe uma autoridade de raiz fidedigna listada como "Class 1 Public Primary Certification Authority" (que é executada pela VeriSign). Este certificado é emitido e assinado pela autoridade Class 1 Public Primary Certificate Authority e é, por conseguinte, um certificado de raiz. No separador Autoridades de certificação intermediárias, existem vários certificados listados como "VeriSign Class 1 CA". O certificado de raiz mencionado acima emitiu esses certificados. Estas autoridades de certificação intermediárias foram criadas com o objectivo de emitir e validar certificados digitais pessoais, portanto, se uma pessoa obtiver um certificado digital pessoal Class 1 da VeriSign, esse certificado será emitido por uma dessas AC intermediárias. Isto cria o que é conhecido por cadeia de verificação. Neste caso, apenas existem três certificados na cadeia de verificação de um certificado pessoal. No entanto, as cadeias de verificação podem conter um elevado número de certificados dependendo do número de autoridades de certificação intermediárias na cadeia.

A cadeia de verificação de um certificado pode ser visualizada fazendo duplo clique no certificado e, em seguida, clicando no separador Caminho da certificação.

Como é emitido um certificado

1. Geração de chaves: O indivíduo que pede a certificação (o requerente, não a AC) gera pares de chaves privadas e públicas.
2. Correspondência de informações de política: O requerente envia as informações adicionais necessárias para a AC emitir o certificado (como, por exemplo, comprovação de identidade, número de contribuinte, endereço de correio electrónico, etc.). A definição específica destas informações depende da AC.
3. Envio de chaves públicas e informações: O requerente envia as chaves públicas e as informações (frequentemente encriptadas utilizando a chave pública da AC) para a AC.
4. Verificação de informações: A AC aplica as regras de política necessárias por forma a verificar se o requerente deve receber um certificado.
5. Criação do certificado: A AC cria um documento digital com as informações apropriadas (chaves públicas, data de validade, entre outros dados) e assina-o utilizando a chave privada da AC.
6. Envio/publicação do certificado: A AC pode enviar o certificado ao requerente ou publicá-lo conforme apropriado.
7. O certificado é carregado no computador de um indivíduo.

Revogação do certificado

A AC publica listas de revogação de certificados (CRL, certificate revocation lists) contendo certificados que foram revogados pela AC. A chave privada do detentor do certificado pode ter sido comprometida ou podem ter sido utilizadas informações falsas na requisição do certificado. As CRL fornecem uma forma de cancelar um certificado depois de ter sido emitido. As CRL são disponibilizadas para transferência ou visualização online por programas cliente.

Para verificar um certificado, apenas é necessária a chave pública da AC e uma comparação com a CRL publicada por aquela AC. Os certificados e as AC reduzem o problema da distribuição de chaves públicas de verificar e confiar numa (ou mais) chaves públicas por indivíduo. Em vez disso, apenas a chave pública da AC tem de ser considerada fidedigna e verificada e, em seguida, pode ser utilizada para permitir a verificação de outros certificados. O Internet Explorer 5 pode ser definido para verificar a validade dos certificados no separador Avançadas na caixa de diálogo das propriedades do Internet Explorer.

Nota Este é um artigo de ?PUBLICAÇÃO RÁPIDA? criado directamente a partir da organização de suporte da Microsoft. As informações contidas neste artigo são fornecidas ?tal como estão? em resposta a problemas recentes. Devido à urgência em disponibilizar este artigo, os materiais poderão incluir erros tipográficos e ser revistos em qualquer altura sem aviso prévio. Consulte os Termos de Utilização (http://go.microsoft.com/fwlink/?LinkId=151500) para outras considerações.