Últimas notícias

Fique informado

Descontinuação do protocolo TLS 1.0 e 1.1: seu site está preparado? Ouça

06/07/2020

Spotlight

Presidente do ITI fala sobre a CertLive que abordou as MPs 951 e 983

Conversamos com Carlos Roberto Fortner sobre a primeira CertLive recebeu parlamentares e integrantes do governo brasileiro em torno das MPs 951 e 983 de 2020.

31/07/2020

Associações da Sociedade Civil manifestam seu apoio à aprovação da MP 951/2020

A MP autoriza a emissão dos certificados digitais, no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, por meio de videoconferência.

31/07/2020

O pequeno herói e sua conexão com a tecnologia para acesso ilimitado e seguro

Neste ebook apresentamos a história do pequeno herói neerlandês e sua conexão com a tecnologia do SafeSign e todo o ecossistema de soluções da AET – Unlimited access to your world.

22/07/2020

Certisign inicia operação na França. Ouça

A primeira unidade em solo Francês fica localizada na cidade Lyon e prestará atendimento na loja e em domicílio.

17/06/2020

Certisign lança plataforma para assinatura digital de receitas médicas à distância. Ouça

A Certisign, a maior Autoridade Certificadora do Brasil, diante da pandemia Coronavírus e ciente do seu papel social, desenvolveu uma plataforma para a assinatura à distância de receitas médicas.

23/04/2020

Os maiores fabricantes de navegadores de internet (Google, Apple, Microsoft e Mozilla), seguindo uma recomendação do IETF (Internet Engineering Task Force), anunciaram no fim do ano passado, a descontinuação dos protocolos TLS 1.0 e 1.1 em seus browsers a partir de 2020, por conta de suas vulnerabilidades já conhecidas por hackers

Por Márcio D’Avila

Márcio D’Avila – Consultor técnico e especialista em segurança digital da Certisign

No entanto, devido a pandemia da Covid-19 o encerramento foi adiado, mas nem tanto assim.

Recentemente, a Google anunciou que a versão 84 de seu navegador Chrome, programada para ser disponibilizada agora em julho, não suportará mais essas versões de TLS.  No mesmo mês, a Microsoft deve lançar o Microsoft Edge versão 84 (baseado no Chromium), que também não aceitará esses protocolo.

Adicionalmente, em todas as versões do Internet Explorer 11 e Microsoft Edge Legacy (baseado em EdgeHTML), os TLS 1.0 e 1.1 serão desativados por padrão a partir de setembro próximo.

O assunto não é novidade. Desde 30 junho de 2018, por exemplo, o PCI DSS (Payment Card Industry Data Security Standard), padrão de segurança de dados do setor de cartões, não utiliza o TLS 1.0, e recomenda fortemente a desativação do TLS 1.1 e utilização da versão 1.2 ou superior.

O motivo é simples. O tempo. O TLS 1.0 já está em uso há mais de duas décadas e o TLS 1.1 há mais 14 anos; período suficiente para que hackers descobrissem suas vulnerabilidades, como o ataque BEAST (Browser Exploit Against SSL/TLS).

Além disso, essas versões utilizam algoritmos criptográficos fracos, como MD5 e SHA1, os quais propiciam um ambiente favorável aos ataques do tipo SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes).

Em resumo, se você tem um site que ainda utiliza os protocolos TLS 1.0 e 1.1, a partir de julho, caso seu cliente/internauta acesse sua página por meio de um navegador, como o Chrome, será alertado sobre a falta de segurança.

Vale lembrar que independentemente do browser, o uso de protocolos antigos coloca o ambiente e seus clientes na mira de cibercriminosos. Sendo assim, são fortemente indicadas a atualização e configuração do seu software de servidor web com as versões mais recentes do TLS, a 1.2 ou 1.3 – recomendada; e a desativação dos protocolos antigos e cifras fracas como DES, RC4, MD5 e SHA1.

Complicou? A configuração certa de protocolo TLS para o seu site pode ser descoberta, por exemplo, por meio das recomendações do Mozilla SSL Configuration Generator, que utiliza diferentes perfis de navegadores (Modern ou Intermediate).

Por fim, a atualização do protocolo de segurança, sem dúvida, deve ser feita, mas com cautela, principalmente para evitar que sistemas, aplicações e serviços web legados parem de funcionar. Por isso, vale uma análise prévia para identificar quais dos seus ambientes, ou se todos, suportam o protocolo TLS 1.2 ou 1.3.

Como saber se uma assinatura digital está válida? Ouça

Entrevista com Marcio D’Avila, especialista da Certisign, sobre a viabilização das transações online. Ouça

Certisign é a primeira Autoridade Certificadora a emitir Certificado Digital totalmente online. Ouça

Saiba quais são as novidades sobre certificação digital lendo mais do Crypro ID!

  Explore outros artigos!