Últimas notícias

Fique informado
Certificate Transparency: fim da falsidade de Certificados?

Certificate Transparency: fim da falsidade de Certificados?

02/09/2016

Spotlight

Serviços prestados pelas Autoridades Certificadoras e de Registro da ICP-Brasil são considerados essenciais segundo decreto 10.282

Pelo decreto, são considerados essenciais os serviços relacionados a certificação digital ICP-Brasil: Art. 3º, §1º, XXI do Decreto nº 10.282/2020.

23/03/2020

Em caráter de urgência ITI publica Instrução Normativa nº 2 para validação dos titulares dos certificados digitais por videoconferência

INSTRUÇÃO NORMATIVA Nº 02, DE 20 DE MARÇO DE 2020 Estabelece os procedimentos de confirmação de cadastro de requerente de certificado digital por meio de videoconferência.

20/03/2020

Diretor-presidente do ITI alerta para a validade de certificados digitais de empresários brasileiros

Marcelo Buz do Instituto Nacional de Tecnologia da Informação – ITI alerta os empresários brasileiros para a validade do certificado digital.

20/03/2020

O que é a Transparência de Certificados

Por Laila Robak Para auxiliar no entendimento do que é

23/08/2016

Transparência e reputação no SSL e seus vícios de design

Por Sérgio Leal A notícia é emblemática e trás a

20/04/2015

 

David B.Svaiter Big Blue | Segurança da Informação & Criptografia 

David B.Svaiter
Big Blue | Segurança da Informação & Criptografia

Por David B. Svaiter *

Um dos problemas mais graves enfrentados por usuários em todo o mundo é referente à falsificação de Certificados Digitais – sistemas de identidade que garantem, em conexões SSL/TLS ou assinaturas digitais, que estamos de fato acessando determinados websites ou ainda, que estamos frente a uma assinatura legítima.

Vários são os casos…. Até mesmo grandes e famosas empresas já foram alvo de falsificações em seus nomes, iludindo o usuário normal e sempre à custa de uma credibilidade que não existe de fato.

Este problema é inerente às Autoridades Certificadoras: em determinadas ocasiões, entidades certificadoras que emitem Certificados sem a devida preocupação em checar a veracidade das informações disponibilizadas; em outras, Autoridades fajutas, falsas mesmo, que existem apenas pelo tempo necessário para emitir Certificados que possam validar ações ilícitas em futuro breve.

A comunidade e as empresas envolvidas com o uso e disseminação de Certificados Digitais há muito sabem deste problema e vêm lutando e fiscalizando efetivamente este tipo de ação, buscando trazer credibilidade ao processo de Certificação Digital.

 Hoje vemos se fortalecendo uma metodologia que se chama CERTIFICATE TRANSPARENCY(Transparência do Certificado), que, à grosso modo, é uma forma do usuário checar numa lista de certificados emitidos por qualquer Autoridade, se aquele que ele acessa é realmente um certificado verdadeiro. O gráfico abaixo, disponibilizado pela “The Hackers Magazine”, evidencia o processo.

81fa4a_cc694390a06b4609a6f47c857ccb2bef-mv2

Basicamente, toda vez que um Certificado é emitido, o nome da Autoridade e do detentor do Certificado é copiado para um LOG, um arquivo de acesso público, que permite ao usuário checar se a Autoridade realmente emitiu tal Certificado.

 Da mesma forma, donos de domínios (os nomes de websites na Internet) podem verificar se existem Certificados emitidos em seu nome de forma fraudulenta, bastando para isso checar neste LOG se seus domínios estão presentes.

 Isso é suficiente para garantir a veracidade do Certificado?

 Pelo visto… não.

Na mesma reportagem do “The Hacker News”, vemos que uma Autoridade Certificadora da China (a WoSign) emitiu um Certificado duplicado para o domínio-base, sendo o usuário dono de um sub-domínio deste Base – ambos de uma Universidade. E a coisa é endêmica nesta Certificadora: o pesquisador fez um teste e conseguiu emitir um outro certificado para o GitHub.com, apenas provando ser dono de um sub-domínio deste sistema!

Que festa seria isso em mãos indevidas!

 Chamo a atenção para o fato de que, em ambos os casos, os Certificados seriam considerados “legais” e estariam devidamente registrados no LOG público. Portanto, podemos concluir que o procedimento hoje considerado seguro (Transparência de Certificados) ainda não é a solução ideal, conseguindo no máximo mitigar os problemas de falsificação, mas não solucioná-los à contento.

Leia outros artigos de David B.S vaiter no portal Cifra Extrema!

 Outros artigos publicados no CryptoID David B. Svaiter

1 comentário até agora

Ir para a discussão
  1. David, Por isso é que o mercado precisaria saber qualificar as empresas que fornecem certificados SSL. Porque entre as Autoridades Certificadoras que seguem procedimentos de validação adequados não deve ocorrer a emissão de certificados para terceiros que não os proprietários dos domínios ocorra. Essa é a grande mágica dos preços. Quem não valida pode vender “barratinha”. Mas as ACs não trabalham seus diferenciais.
    Estou nesse mercado há muitos anos e nunca vi uma campanha de verdade. A marca que mais fez barulho foi a Verisign lá no início de tudo….. Também não gosto nem um pouco dos certificados Wildcard e de DV. Na minha opinião estratégia errada das grandes ACs para não perder mercado. Esse tipo de certificado só poderia ser utilizado por quem entende muito sobre eles e seguem políticas de segurança e não para os que só podem pagar por eles. É justamente o inverso do pipe de vendas delas. Acho que ainda tem muito chão pela frente….

<