https://wiki.coolab.org/index.php?action=history&feed=atom&title=CoolabCamp21_Certificados_DigitaisCoolabCamp21 Certificados Digitais - Histórico de revisão2026-04-28T16:29:29ZHistórico de revisões para esta página neste wikiMediaWiki 1.34.1https://wiki.coolab.org/index.php?title=CoolabCamp21_Certificados_Digitais&diff=2407&oldid=prevHiure em 19h56min de 7 de abril de 20212021-04-07T19:56:53Z<p></p>
<table class="diff diff-contentalign-left" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="pt-BR">
<td colspan="2" style="background-color: #fff; color: #222; text-align: center;">← Edição anterior</td>
<td colspan="2" style="background-color: #fff; color: #222; text-align: center;">Edição das 19h56min de 7 de abril de 2021</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l1" >Linha 1:</td>
<td colspan="2" class="diff-lineno">Linha 1:</td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #222; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">Sábado, 03/04/21, 14:00 Facilitador: @fernaovellozo</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #222; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #222; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></ins></div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #222; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>- A tecnologia utilizada para produzir certificados que utilizamos nessas infraestruturas é a mesma utilizada para eCPF/eCNPJ, mas há muito pouco suporte para formatos não-proprietários (PFX vs PEM)</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #222; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>- A tecnologia utilizada para produzir certificados que utilizamos nessas infraestruturas é a mesma utilizada para eCPF/eCNPJ, mas há muito pouco suporte para formatos não-proprietários (PFX vs PEM)</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #222; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>- Burocracias centralizadoras</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #222; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>- Burocracias centralizadoras</div></td></tr>
</table>Hiurehttps://wiki.coolab.org/index.php?title=CoolabCamp21_Certificados_Digitais&diff=2399&oldid=prevHiure: Criou página com '- A tecnologia utilizada para produzir certificados que utilizamos nessas infraestruturas é a mesma utilizada para eCPF/eCNPJ, mas há muito pouco suporte para formatos não-...'2021-04-07T19:39:28Z<p>Criou página com '- A tecnologia utilizada para produzir certificados que utilizamos nessas infraestruturas é a mesma utilizada para eCPF/eCNPJ, mas há muito pouco suporte para formatos não-...'</p>
<p><b>Página nova</b></p><div>- A tecnologia utilizada para produzir certificados que utilizamos nessas infraestruturas é a mesma utilizada para eCPF/eCNPJ, mas há muito pouco suporte para formatos não-proprietários (PFX vs PEM)<br />
- Burocracias centralizadoras<br />
- Cartórios da Internet<br />
- Referências:<br />
- RFC5280 https://tools.ietf.org/html/rfc5280<br />
- https://cabforum.org/<br />
- PFX: Como não se deve fazer um padrão/protocolo de critpografia https://www.cs.auckland.ac.nz/~pgut001/pubs/pfx.html<br />
- Legislação no Brasil (não relacionada às AC's de domínios na Internet):<br />
- http://www.planalto.gov.br/ccivil_03/mpv/antigas_2001/2200-2.htm<br />
- https://www.gov.br/iti/pt-br/acesso-a-informacao/perguntas-frequentes/icp-brasil<br />
- PFX: <br />
- Padrão de arquivos para autoridades certificadoras (feito pela Microsoft)<br />
- Chaves públicas e privadas (criptografia assimétrica)<br />
- PEM: formato aberto para chaves assimétricas<br />
- Certificados emitidos por empresas privadas<br />
- Cobram por cada subdomínio (uma linha a mais em um arquivo)<br />
- Modelo de negócio problemático<br />
- Autoridades certificadores sendo hackeadas<br />
- Outras notícias<br />
- Infraestrutura de chaves públicas da symantec [colocar referência]<br />
- Hackers iranianos emitindo certificados para google.com <br />
- Mozilla e Google, Cloudfare e letsencrpy fizeram uma parceria para lidar com autoridades certificadoras<br />
- https, página vai para o topo da pesquisa do google<br />
<br />
LetsEncrypt - autoridade certificadora aberta<br />
https://letsencrypt.org/pt-br/<br />
<br />
Dica de boa prática:<br />
- Proteção da chave privada<br />
- Qualquer aplicação que sirva https diretamente precisa ter acesso à chave privada.<br />
- Por isso, pode ser bom limitar o acesso à chave privada a um número menor de aplicações mais robustas/seguras.<br />
- Por exemplo: usar wildcard somente quando houver um proxy reverso (ex: Nginx).<br />
- Para aplicaçoes que escutam HTTPS diretamente, preferir usar certificados para domínios específicos (sem ser wildcard).<br />
- Para guardar a chave privada: criar uma partição criptografada<br />
- Manter lista de certificados revogados<br />
- Tabelão de 3 megas para ver se 1 certificado está valido ou não<br />
- Nunca foi devidamente implementada<br />
- OCSP: protocolo para contornar a situação (https://pt.wikipedia.org/wiki/Protocolo_de_status_de_certificado_online_(OCSP))<br />
- Outros problemas: difícil de implementar<br />
- Problema de segurança<br />
- Problema de carga<br />
- OCSP stapling (https://en.wikipedia.org/wiki/OCSP_stapling)<br />
- Atual padrão para verificação de revogação de certificados<br />
<br />
<br />
- Certbot cliente para instalar no servidor:<br />
- Disponível para vários proxys<br />
- Apache<br />
- Nginx<br />
- Protocolo ACME<br />
<br />
wildcard: requer verificações a mais para ser seguro<br />
provar que o dominio é seu criando: http challenge<br />
gera string automaticamente<br />
(reload na configuração pois o ngix pode estar usando certificado antigo)<br />
<br />
<br />
<br />
X509 Extensions:<br />
<br />
<br />
Rede de confiança de assinatura de chaves (OpenPGP: https://www.openpgp.org/)<br />
multiplas pessoas assinam uma chave falando que é confiável<br />
<br />
Trilema: é difícil de garantir as seguintes 3 coisas ao mesmo tempo:<br />
- humanamente compreensivel<br />
- seguro<br />
- descentralizado<br />
<br />
https://en.wikipedia.org/wiki/Zooko%27s_triangle<br />
<br />
<br />
Gestão de certificados em máquinas linux<br />
CFSSL -> cloudflare<br />
Step CA<br />
<br />
Imagens docker:<br />
<br />
https://github.com/nginx-proxy/acme-companion<br />
https://github.com/nginx-proxy/docker-letsencrypt-nginx-proxy-companion</div>Hiure