Categoria
Certificados e PKI
Todas as ferramentas e artigos desta categoria, reunidos em um só lugar.
Ferramentas
Calculadora de TXT dns-01 do ACME
Calcule o registro TXT de um desafio dns-01 do ACME, a partir do token e da chave da conta.
Decodificador de certificados X.509
Cole um certificado em PEM, base64 ou hex para ler seu titular, emissor, janela de validade, chave pública e extensões v3, com impressões digitais SHA-256 e SHA-1. Roda inteiramente no seu navegador.
Decodificador de CSR
Decodifique uma solicitação de assinatura de certificado PKCS#10 para ler seu sujeito, chave pública, SANs e extensões solicitados, e atributos; tudo no navegador.
Planejador de limites da Let's Encrypt
Planeje a emissão de certificados para um conjunto de nomes de host: agrupe-os por domínio registrado e veja como se encaixam nos limites da Let's Encrypt.
Planejador de renovação de certificados
Calcule a validade de um certificado TLS, se ele se encaixa no cronograma de 47 dias do CA/Browser Forum, e a cadência de renovação que isso implica; tudo offline.
Artigos
Anatomia de um Certificado X.509
O que vive dentro de um certificado TLS, como os bytes ASN.1/DER são estruturados, o que as extensões v3 de fato controlam, e por que decodificar um certificado não é o mesmo que confiar nele.
LerPEM, DER e os formatos de arquivo de certificado
Por que o mesmo certificado vem em tantas formas de arquivo, o que PEM e DER de fato são, e o que .crt, .pem, .pfx e .p12 realmente contêm.
LerRequisições de assinatura de certificado e como certificados são emitidos
O que uma CSR contém, por que sua chave privada nunca deixa sua máquina, como uma CA valida e emite, e como o ACME automatiza toda a troca.
LerComo a validação de certificados de fato funciona
Os passos que um cliente executa para decidir que um certificado é confiável: construir a cadeia, checar assinaturas e datas, casar o nome e impor restrições.
LerRevogação de certificados: CRL, OCSP e certificados de vida curta
Por que um certificado às vezes precisa ser cancelado antes de expirar, por que os sistemas clássicos de revogação funcionam mal, e por que a indústria está encolhendo os tempos de vida dos certificados em vez disso.
LerAuthority Information Access: As URLs de OCSP e CA Issuers
A extensão AIA carrega dois tipos de ponteiro: onde perguntar se um certificado foi revogado (OCSP) e onde buscar o certificado do próprio emissor (CA Issuers). Para que serve cada um, por que são fáceis de confundir e o que o inspetor mostra.
LerOCSP Must-Staple: Fechando a Brecha do Soft-Fail
A checagem OCSP em tempo real tem uma fraqueza fatal: quando o respondedor está inacessível, os clientes geralmente prosseguem mesmo assim. O OCSP stapling e o sinalizador Must-Staple são a correção. O que a extensão TLS Feature declara, e o risco operacional que ela carrega.
LerA era dos 47 dias: como os tempos de vida dos certificados TLS estão encolhendo
O cronograma SC-081v3 do CA/Browser Forum reduz a validade máxima de certificados TLS públicos de 398 para 47 dias até 2029, em três etapas. Quais são as fases, por que 47, e o que isso faz com o volume de renovações.
LerACME: como os certificados se emitem e se renovam sozinhos
Como o protocolo ACME automatiza a emissão de certificados de ponta a ponta: a conta, o pedido, os três tipos de desafio, o registro dns-01 que você publica e a etapa de finalizar e baixar que produz o certificado.
LerJanelas de validade: notBefore, notAfter e a antecedência da renovação
Como o tempo de vida de um certificado é definido por dois carimbos de tempo, como esse tamanho é medido contra o limite, por que validade não é o mesmo que tempo restante, e como escolher uma antecedência para a renovação.
LerLet's Encrypt: a CA gratuita e seus limites de emissão
O que é a Let's Encrypt, por que seus certificados são de vida curta e como seus limites de emissão realmente funcionam: os limites por domínio registrado e por conta, os limites por conjunto exato e por falha de autorização, e por que as renovações por ARI são isentas de todos eles.
LerReutilização de DCV e SII: a cadência de validação por trás da renovação
Emitir um certificado significa provar o controle do domínio e, para OV/EV, a identidade da organização. A SC-081v3 encurta por quanto tempo essas provas podem ser reutilizadas, o DCV para 10 dias até 2029, o que remodela a renovação tanto quanto a validade.
LerRenovar antes da expiração: antecedência, ACME e ARI
Por que a renovação tardia causa quedas, como o ACME automatiza a emissão e a renovação, como a extensão ARI permite que uma AC guie a janela de renovação, e como escolher uma antecedência que deixe espaço para tentar de novo.
LerPKI pública e privada: quais certificados a SC-081v3 governa
O cronograma dos 47 dias vincula apenas certificados TLS publicamente confiáveis. O que separa a PKI pública da privada, por que as ACs internas estão isentas, e como ler o veredito de conformidade do planejador para um certificado interno.
Ler