Últimas notícias

Fique informado
Certificate Transparency: fim da falsidade de Certificados?

Certificate Transparency: fim da falsidade de Certificados?

02/09/2016

Spotlight

Como gerenciar seus certificados TLS sob as novas regras do Google?

Em 01 de setembro de 2020, os principais navegadores passam a bloquear certificados TLS que têm um período superior a 398 dias.

10/08/2020

Quatro motivos para investir na autenticação de múltiplos fatores com Inteligência Artificial

Uma maneira de resolver problemas de acessos de usuários é aplicar sistemas de autenticação de múltiplos fatores, como a autenticação condicional.

10/08/2020

Presidente do ITI fala sobre a CertLive que abordou as MPs 951 e 983

Conversamos com Carlos Roberto Fortner sobre a primeira CertLive recebeu parlamentares e integrantes do governo brasileiro em torno das MPs 951 e 983 de 2020.

31/07/2020

Associações da Sociedade Civil manifestam seu apoio à aprovação da MP 951/2020

A MP autoriza a emissão dos certificados digitais, no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, por meio de videoconferência.

31/07/2020

O pequeno herói e sua conexão com a tecnologia para acesso ilimitado e seguro

Neste ebook apresentamos a história do pequeno herói neerlandês e sua conexão com a tecnologia do SafeSign e todo o ecossistema de soluções da AET – Unlimited access to your world.

22/07/2020

O que é a Transparência de Certificados

Por Laila Robak Para auxiliar no entendimento do que é

23/08/2016

Transparência e reputação no SSL e seus vícios de design

Por Sérgio Leal A notícia é emblemática e trás a

20/04/2015

 

David B.Svaiter Big Blue | Segurança da Informação & Criptografia 

David B.Svaiter
Big Blue | Segurança da Informação & Criptografia

Por David B. Svaiter *

Um dos problemas mais graves enfrentados por usuários em todo o mundo é referente à falsificação de Certificados Digitais – sistemas de identidade que garantem, em conexões SSL/TLS ou assinaturas digitais, que estamos de fato acessando determinados websites ou ainda, que estamos frente a uma assinatura legítima.

Vários são os casos…. Até mesmo grandes e famosas empresas já foram alvo de falsificações em seus nomes, iludindo o usuário normal e sempre à custa de uma credibilidade que não existe de fato.

Este problema é inerente às Autoridades Certificadoras: em determinadas ocasiões, entidades certificadoras que emitem Certificados sem a devida preocupação em checar a veracidade das informações disponibilizadas; em outras, Autoridades fajutas, falsas mesmo, que existem apenas pelo tempo necessário para emitir Certificados que possam validar ações ilícitas em futuro breve.

A comunidade e as empresas envolvidas com o uso e disseminação de Certificados Digitais há muito sabem deste problema e vêm lutando e fiscalizando efetivamente este tipo de ação, buscando trazer credibilidade ao processo de Certificação Digital.

 Hoje vemos se fortalecendo uma metodologia que se chama CERTIFICATE TRANSPARENCY(Transparência do Certificado), que, à grosso modo, é uma forma do usuário checar numa lista de certificados emitidos por qualquer Autoridade, se aquele que ele acessa é realmente um certificado verdadeiro. O gráfico abaixo, disponibilizado pela “The Hackers Magazine”, evidencia o processo.

81fa4a_cc694390a06b4609a6f47c857ccb2bef-mv2

Basicamente, toda vez que um Certificado é emitido, o nome da Autoridade e do detentor do Certificado é copiado para um LOG, um arquivo de acesso público, que permite ao usuário checar se a Autoridade realmente emitiu tal Certificado.

 Da mesma forma, donos de domínios (os nomes de websites na Internet) podem verificar se existem Certificados emitidos em seu nome de forma fraudulenta, bastando para isso checar neste LOG se seus domínios estão presentes.

 Isso é suficiente para garantir a veracidade do Certificado?

 Pelo visto… não.

Na mesma reportagem do “The Hacker News”, vemos que uma Autoridade Certificadora da China (a WoSign) emitiu um Certificado duplicado para o domínio-base, sendo o usuário dono de um sub-domínio deste Base – ambos de uma Universidade. E a coisa é endêmica nesta Certificadora: o pesquisador fez um teste e conseguiu emitir um outro certificado para o GitHub.com, apenas provando ser dono de um sub-domínio deste sistema!

Que festa seria isso em mãos indevidas!

 Chamo a atenção para o fato de que, em ambos os casos, os Certificados seriam considerados “legais” e estariam devidamente registrados no LOG público. Portanto, podemos concluir que o procedimento hoje considerado seguro (Transparência de Certificados) ainda não é a solução ideal, conseguindo no máximo mitigar os problemas de falsificação, mas não solucioná-los à contento.

Leia outros artigos de David B.S vaiter no portal Cifra Extrema!

 Outros artigos publicados no CryptoID David B. Svaiter

1 comentário até agora

Ir para a discussão
  1. David, Por isso é que o mercado precisaria saber qualificar as empresas que fornecem certificados SSL. Porque entre as Autoridades Certificadoras que seguem procedimentos de validação adequados não deve ocorrer a emissão de certificados para terceiros que não os proprietários dos domínios ocorra. Essa é a grande mágica dos preços. Quem não valida pode vender “barratinha”. Mas as ACs não trabalham seus diferenciais.
    Estou nesse mercado há muitos anos e nunca vi uma campanha de verdade. A marca que mais fez barulho foi a Verisign lá no início de tudo….. Também não gosto nem um pouco dos certificados Wildcard e de DV. Na minha opinião estratégia errada das grandes ACs para não perder mercado. Esse tipo de certificado só poderia ser utilizado por quem entende muito sobre eles e seguem políticas de segurança e não para os que só podem pagar por eles. É justamente o inverso do pipe de vendas delas. Acho que ainda tem muito chão pela frente….

<