Pular para o conteúdo principal

Autoridade de Certificação RNL

A autoridade de certificação (Certificate Authority a.k.a. CA) da RNL foi criada para autenticar os certificados digitais utilizados pelos serviços disponibilizados pela RNL.

Certificado Publico

Certificado Público da Autoridade de Certificação (formato .crt - importável pelos browsers mais comuns)

Certificado Público da Autoridade de certificação (formato .pem - uso genérico)

Certificado Público da Autoridade de certificação (formato .txt - apenas informativo)

Lista de certificados revogados

Lista de certificados revogados (Certificate Revocation List) (formato .der - importável pelos browsers mais comuns)

Lista de certificados revogados (formatp .pem - uso genérico)

Lista de certificados revogados (formato .txt - apenas informativo)

Fingerprints do certificado

  • MD5 Fingerprint
33:76:BB:A6:42:26:AD:61:E2:88:24:CD:E0:4A:E9:9F
  • SHA1 fingerprint
D8:7E:49:6D:76:86:84:D8:69:32:20:63:6A:D0:BB:AC:99:54:4F:85
  • SHA256 fingerprint
8E:BF:6E:55:A8:F9:E9:2E:F8:DD:56:50:87:F8:27:D7:B2:45:52:42:AA:B0:F2:54:21:FD:5A:08:D4:5D:26:E9

FAQ Utilização

O que posso beneficiar com isto?

Uma vez que se confia no certificado CA da RNL é possível confiar também nos certificados dos servidores da RNL pois torna-se possível verificar a sua autenticidade e integridade. Essa verificação é automaticamente executada pelo user agent interessado na utilização do certificado. Na prática, deixam de aparecer warnings dos user agents a avisar que o certificado é "self-signed" ou que o CA não é reconhecido.

Como posso fazer para beneficiar do CA da rnl?

É necessário importar o certificado público do CA para o user agent de forma a que este o reconheça como uma autoridade válida. Depois disso, o user agent faz o resto. Verifica sozinho a autenticidade e integridade dos certificados através da confirmação da sua assinatura utilizando o certificado do CA fornecido. Depois do processo de importação, não devem surgir warnings. Se surgirem warnings, o utilizador deve ler com atenção o seu conteúdo e contactar a RNL pessoalmente ou por e-mail (rnl@rnl.tecnico.ulisboa.pt) para esclarecimento de dúvidas.

Onde posso obter o certificado CA da RNL?

O certificado encontra-se disponível online em http://www.rnl.tecnico.ulisboa.pt/ca/cacert/cacert.pem ou por https em https://www.rnl.tecnico.ulisboa.pt/ca/cacert/cacert.pem.

Como posso eu confiar no certificado CA da RNL?

O certificado encontra-se disponível online neste website e são sugeridos 2 métodos de verificação de autenticidade do certificado. O primeiro método é o mais fácil e mais cómodo mas também o menos seguro. Nada impede aos utilizadores de utilizarem ambos os métodos:

  • Depois de fazer o download, o utilizador deve verificar uma ou ambas as suas fingerprints (md5 e sha1) e compará-las com as fingerprints que estão também disponíveis neste website. Para retirar as fingerprints, deve-se utilizar o comando: 
       openssl x509 -in cacert.pem -noout -sha1 -fingerprint
    para a fingerprint sha1 e/ou 
       openssl x509 -in cacert.pem -noout -md5 -fingerprint
    para a fingerprint md5. As fingerprints do website e as calculadas pelo utilizador têm que ser iguais. Se não forem, ou o seu certificado não é verdadeiro, ou as fingerprints do site foram alteradas intencionalmente ou não-intencionalmente. Neste caso, deve utilizar o método de verificação abaixo para determinar a validade do certificado obtido.
  • Após o cálculo das fingerprints pelo utilizador, este deve vir pessoalmente à RNL verificar se as mesmas são iguais às do verdadeiro certificado.

As fingerprints calculadas pelo utilizador têm que ser iguais às fingerprints verificadas pessoalmente na RNL! Caso contrário, o certificado obtido do website não é certamente válido!

FAQ Técnica

Esta FAQ deve ser entendida como um texto de apoio e não uma verdadeira FAQ.

O quê?

A autoridade de certificação (CA) é uma entidade que assina os certificados gerados para os servidores depois de verificada a sua autenticidade e validade. A assinatura digital inserida no certificado do servidor pela CA pode e deve mais tarde ser verificada pelas partes interessadas.

Porquê?

A utilização dos certificados pelos serviços citados prende-se com a integridade e confidencialidade dos dados trocados entre os utilizadores e os servidores da RNL e também com a garantia de que o servidor com que o utilizador está a contactar é o servidor certo.

Como?

Para tal, as ligações estabelecidas terão que ser encriptadas (típicamente ligações SSL) via algoritmos adequados que se iniciam pela troca de chaves públicas geradas nos clientes, certificados vindos dos servidores e verificações de autenticidade e integridade do lado do cliente e opcionalmente do lado do servidor. Os certificados digitais dos servidores estão autenticados e protegidos por uma assinatura digital feita pela autoridade de certificação.

Método de verificação

Para os utilizadores verificarem a autenticicade e integridade do certificado do servidor (directamente com a ferramenta 'openssl' ou indirectamente por algum user agent como browsers, clientes de e-mail, etc), recorrem ao certificado público da autoridade de certificação (CA) para verificar a assinatura digital do certificado do servidor.