O diretor sênior de desenvolvimento de negócios da DigiCert, Dean Coclin realiza entrevista para o Crypto ID e comenta sobre sobre o uso do certificado digital
Existem no mercado atual 3 níveis de certificados digitais que podem ser usados. O mais completo deles, o EV (Validação Estendida) acabou de passar por algumas mudanças que impactam diretamente na forma como o usuário identifica se uma página é segura ou não.
Antes bastava clicar no cadeado, agora é preciso verificar alguns itens que mudam de navegador para navegador.
O EV é o tipo de certificado mais recomendado para quem trabalha com e-commerce ou qualquer outro tipo de atividade que envolva transações financeiras. Além de ser uma proteção para os clientes, também é para empresas, pois como sabemos um caso de vazamento de dados pode causar grandes prejuízos financeiros e de reputação para as companhias.
Com tudo isso em mente o Portal Crypto ID realizou uma entrevista com Dean Coclin sobre as mudanças no mercado de certificação digital e quais seriam os melhores usos desta tecnologia no ambiente atual.
Crypto ID: Quais são as mudanças nos certificados EV?
Dean Coclin: Um certificado EV (TLS) permite que navegadores da web altamente seguros exibam o nome da organização com um clique no ícone do cadeado e exibam o nome da autoridade de certificação que o emitiu. A autoridade de certificação usa um método de autenticação rigoroso e auditado, e os navegadores controlam a apresentação, tornando difícil para os falsificadores descobrirem sua marca e seus clientes.
Os consumidores se beneficiam olhando além do cadeado e clicando nele para verificação de sua organização por meio do certificado EV TLS. A empresa também se beneficia de melhores controles de EV sobre como sua CA verifica sua organização e, assim, alinhando-se com suas políticas sobre quem em sua organização pode solicitar e implantar certificados
Veja abaixo como você pode identificar um site EV em navegadores diferentes:
● Apple Safari: Após clicar no cadeado, a última frase indica que este é um certificado EV porque as informações de identidade do site estão lá. O Safari não fornece esse detalhe para outros tipos de certificado.
● Google Chrome: o Chrome moveu a tela para trás da fechadura, o que significa que é necessário clicar na fechadura para ver o nome da empresa (em cinza) junto com a jurisdição de incorporação (entre parênteses). Consulte Se “Emitido para: {Nome da empresa} [Jurisdição]” aparecer em “Certificado (Válido)”, então o site tem um certificado EV.
● Microsoft Edge: o Edge agora é construído sobre o Chromium, então a tela EV é muito semelhante à do Chrome.
● Mozilla Firefox: Com o lançamento do Firefox 70, um clique no cadeado mostra o nome da empresa para certificados EV. Um clique adicional no Firefox mostra os detalhes estendidos, permitindo que uma parte confiável verifique o nome e o endereço do site.
É importante sempre atualizar o software e o navegador com as versões mais recentes do Microsoft Edge, Mozilla Firefox e navegadores de outros fornecedores que vêm equipados com filtros anti-phishing.
Crypto ID: Não basta ter o certificado EV TLS, é necessário fazer a configuração corretamente. Como configurar corretamente os certificados nos servidores para garantir mais segurança?
Dean Coclin: Primeiro, todos os servidores da web devem ter os patches mais recentes. Além disso, versões antigas de SSL, ciphersuites e algoritmos de hash devem ser removidos. Os tamanhos das chaves devem ter no mínimo 2.048 bits.
Por último, a automação deve ser configurada para que os certificados possam ser renovados, reemitidos e revogados automaticamente. Com a diminuição dos períodos de validade, a automação está se tornando mais importante em organizações de todos os tamanhos.
Crypto ID: Outra garantia pouco explorada pelas organizações é o registro das CAs que estão autorizadas a emitir certificados TLS para seu domínio. Como me registro para uma Autorização de Autoridade de Certificação (CAA)? Eles podem incluir links?
Dean Coclin: Em 2017, o CA / Browser Forum aprovou uma votação que exige que todos os CAs verifiquem os registros CAA DNS e cumpram todas as entradas encontradas para o domínio em questão.
O objetivo disso é permitir que os proprietários de domínio declarem quais CAs têm permissão para emitir um certificado para seu domínio. A CAA também fornece uma maneira de receber notificações no caso de alguém solicitar um certificado de uma CA não autorizada.
Um registro CAA permite restringir a lista de autoridades de certificação aprovadas por meio de uma lista de permissões. Para sites que não estão interessados no CAA, eles não precisam fazer nenhuma alteração. Simplesmente não crie um registro CAA e cada CA será capaz de emitir certificados para seu domínio.
Aqui estão as diretrizes para o planejamento de uma implantação CAA e uma visão geral de como sua implantação beneficia a segurança do seu site e a política da organização:
1. Use a política de certificados da sua organização como ponto de partida. Se você aprovou determinados CAs como provedores, use-os para criar a lista de CAs que você inserirá em seu registro de CAA. Se você ainda não tem uma política de certificado em sua organização, no mínimo você desejará determinar quais CAs são comumente usados por sua organização. Você sempre pode atualizar (ou remover) seu registro CAA se precisar alterar a lista de CAs autorizados, e essas alterações entrarão em vigor de acordo com seu TTL de DNS.
2. Crie um registro CAA DNS. Sua política pode ser restritiva – com escopo para apenas uma ou várias CAs que sua organização usa – ou mais flexível para permitir que sua organização use um número maior de provedores populares. Mesmo se sua política CAA permitisse 10 CAs, isso ainda seria uma redução significativa. Aqui está um exemplo de um registro CAA que permitiria apenas à DigiCert emitir certificados para um site:
seudominio.com. Problema CAA 0 “digicert.com”
Este registro se aplicaria a todos os subdomínios do domínio. Se você quisesse permitir CAs adicionais, uma nova linha seria criada para cada CA. O nome do host listado no final identifica o CA, que cada CA escolhe explicitamente.
Esse nome de host pode não ser o mesmo que a página inicial do CA, então certifique-se de verificar a documentação de seu CA para a sintaxe adequada. SSLMate fornece uma ferramenta gratuita de gerador de registro CAA para agilizar este processo.
Observe que você pode definir diferentes registros CAA para subdomínios para obter mais flexibilidade. Os registros CAA são verificados hierarquicamente em sua árvore DNS, começando no rótulo mais alto da solicitação.
Por exemplo, se você solicitou um certificado para “sub.domain.com”, a CA primeiro verifica se há um registro para o subdomínio e, em seguida, para o domínio raiz, se não existir um registro no nível do subdomínio. Para CNAMEs, o domínio pai será verificado por último.
3. Para todas as solicitações de certificados futuros, o registro CAA do seu domínio será verificado e qualquer CA, exceto DigiCert (neste exemplo), deve se recusar a emitir qualquer certificado. A partir de 8 de setembro de 2017, o Fórum CA / B agora exige que todos os CAs obedeçam a Registro CAA. Isso se aplica a todas as CAs confiáveis, incluindo certificados fornecidos gratuitamente e por provedores de serviços em nuvem. O não cumprimento do seu registro constitui emissão incorreta do certificado, o que pode levar a sanções ou desconfiança da CA.
4. Seu domínio agora está em risco reduzido de emissão incorreta. Em um cenário adversário, um hacker em potencial ficaria restrito às CA (s) especificadas em seu registro CAA, criando menos superfície de ataque. Dependendo de como sua CA implementa os controles de conta, isso pode impossibilitar que invasores recebam certificados para seu site, mesmo que eles comprometam seu servidor web. Por exemplo, se sua política CAA permitisse apenas que DigiCert emitisse certificados para seu site, não haveria como o invasor concluir o processo de validação OV / EV. Funcionários ou usuários não autorizados seriam igualmente restritos, o que reduz as violações do certificado de sua organização política.
PKI: um aliado estratégico seguro da Internet das Coisas (IoT)
Dean Coclin, da DigiCert, em entrevista sobre segurança em websites
Sobre a DigiCert, Inc.:
DigiCert é a provedora mundial de escaláveis TLS/SSL, soluções PKI para identidade e encriptografia. As empresas mais inovadoras, incluindo 89% das organizações da Fortune 500 e 97 – de um total de 100 maiores bancos globais – escolheram a DigiCert por sua experiência em identidade e criptografia para servidores web e Internet das Coisas.
DigiCert suporta TLS/SSL e outros certificados digitais e desenvolvimento para PKI em qualquer escala por meio da plataforma de gerenciamento de ciclo de vida, a CertCentral®. A organização é reconhecida pela sua plataforma de gerenciamento, rapidez e um suporte reconhecido ao usuário, além de líder de mercado em soluções de segurança. Para as últimas notícias e atualizações, visite digicert.com ou siga @digicert.
Como o Certificado EV aumenta a confiança dos clientes no seu e-commerce
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.