Vale a pena conferir por que os sites usam certificados EV SSL/TLS
Este artigo foi produzido por COMODO CA
Esses certificados são mais caros em termos de orçamento e consomem mais tempo de implementação em relação aos certificados de validação de domínio (DV), portanto, a menos que uma equipe de TI tenha bons motivos para usar o EV, esperamos que economizem tempo e dinheiro.
Embora o custo e a inconveniência de se emitir um EV sejam menores em comparação a outros itens da infraestrutura de segurança, as pessoas são fundamentalmente orientadas para a eficiência e o orçamento. Desta forma, na ausência de uma razão para fazer o contrário, os compradores vão para a solução mais barata e mais fácil.
Benefícios do EV SSL
Quando falamos em benefícios, é importante lembrar que a autenticação não é para a entidade que está sendo autenticada. Leia isso de novo e pense por um momento: a autenticação não é para a entidade que está sendo autenticada.
Pelo contrário, é para todos os outros. Vamos usar o exemplo de identificação pessoal como uma carteira de motorista ou um passaporte. Quando você vai ao aeroporto, não se esquece de levar algum tipo de identificação oficial com você. Isso não é porque você tem dúvidas sobre sua própria identidade. Em vez disso, você carrega seu passaporte porque a Polícia Federal e os funcionários da alfândega no aeroporto vão precisar. Seu passaporte não é para você; é para eles.
Então, por que você carrega seu passaporte quando viaja? Porque o “sistema” tem motivação para que os indivíduos sejam autenticados. Se quisermos voar, precisamos ser autenticados. Nossa motivação não é confiar em nossa própria identidade. Cada um de nós sabe quem somos. Nossa motivação, ao contrário, é conseguir entrar no avião.
A mesma situação existe para autenticação de sites e serviços online. Os profissionais de TI não investirão seu tempo e esforço para dizer a si mesmos que são reais porque já sabem disso. Para investir em autenticação, eles precisam de um motivador. Vamos explorar alguns dos possíveis motivadores.
EV é mais seguro
Uma motivação potencial é simplesmente oferecer uma experiência mais segura. O EV SSL oferece aos visitantes do site mais informações para diferenciar os sites reais dos falsos, o que prejudica o sucesso dos ataques de engenharia social. Em um mundo ideal, essa seria toda a motivação que qualquer um precisaria para usar o EV SSL/TLS.
Muitas empresas usam o EV exatamente por esse motivo. Às vezes, é só porque eles acreditam que proteger os visitantes do site é um bom atendimento ao cliente, e isso é motivo suficiente. Às vezes é porque eles próprios são vítimas em potencial por meio de ataques de spear phishing destinados a seus próprios funcionários, fornecedores, ou outros parceiros do ecossistema. Às vezes, é porque eles procuram minimizar os custos de aquisição de conta ou outros problemas de serviço decorrentes de ataques.
Os serviços financeiros on-line, que vão desde pagamentos a bancos, cartões de crédito e negociação de títulos, são muito bons em usar o EV SSL/TLS Portanto, esses serviços financeiros on-line sentem a motivação direta do P & L (Profit and Loss Statement) – demonstrativo de lucros e perdas de uma empresa e traz suas receitas, custos e despesas – para minimizar essa classe de problemas.
Infelizmente, não é um mundo ideal. Muitas empresas on-line não parecem ter entendido como vale a pena proteger os clientes contra criminosos. Varejistas, sites de mídia social e muitas outras empresas on-line não sentem o impacto da vitimização de um cliente nas mãos de phishers. Detalhes do cartão de crédito roubado são usados para todos os tipos de finalidade e eles nunca podem realmente voltar para o varejista que originalmente permitiu o roubo. E, embora o cliente seja incomodado pelo roubo do cartão de crédito, é altamente improvável que a culpa recaia sobre esse varejista.
Idem para muitos outros sites, onde a principal atividade de phishing é roubar uma credencial de login, não para assumir essa conta específica, mas sim para verificar outros sites mais valiosos (particularmente no setor financeiro) para combinações semelhantes de nome / senha. Se um site desleixado permitir que suas credenciais sejam roubadas por um phisher que use essas informações para obter acesso à sua conta bancária, o site nunca sentirá o impacto direto desse descuido.
Assim, embora os benefícios de segurança do EV por si só sejam motivacionais, muitos alvos importantes de phishing não obtêm benefícios diretos da segurança aprimorada trazida pelo EV. E isso cria um gigantesco dilema de prisioneiro* na web. Embora todos estivéssemos em situação melhor se todos os sites usassem EV, muitos sites individuais não adotam o EV para economizar dinheiro e inconvenientes, sem experimentar uma desvantagem real. Portanto, muitos deles o fazem e todos sofremos.
Portanto, para que o EV ganhe ampla adoção, precisamos de mais motivadores do que apenas segurança.
EV ajuda na conformidade
Outro forte motivador potencial para um subconjunto de sites é a conformidade.
Muitos padrões de conformidade importantes, como o PCI-DSS e o HIPAA / HITECH, exigem que os sites tomem medidas para proteger seus clientes contra a perda de informações confidenciais, como números de cartão de crédito, PII, PHI e afins. Como o EV é uma proteção mais forte contra esse tipo de roubo do que um certificado OV ou DV, muitos departamentos de segurança e governança determinam que o EV é a maneira mais eficaz de garantir uma auditoria bem-sucedida contra esses padrões.
Acontece que a sobreposição entre empresas que são fortemente motivadas pela conformidade e aquelas que são fortemente motivadas pela segurança por si só é muito alta. Os casos de uso financeiro caem firmemente nesses dois campos, portanto, não estamos adicionando muitos sites dessa maneira. O principal ganho aqui é que a saúde e a indústria farmacêutica têm fortes requisitos de conformidade HIPAA / HITECH e são melhores que os usuários médios de EV SSL/TLS.
Mais uma vez, sites que são motivados a apresentar suas autenticações ainda está longe de ser onipresente. Muitos sites precisarão de um motivador adicional.
EV aumenta transações e uso do site
O negócio é duramente pragmático. Todo site de negócios existe com algum objetivo final em mente. Se o negócio é um varejista on-line ou uma empresa de SaaS, o objetivo é óbvio. Eles estão aqui para vender ou entregar bens e serviços. Mas todo site de negócios tem um objetivo. Caso contrário, a empresa não investiria o dinheiro, o tempo dos funcionários e o foco para criá-lo e mantê-lo.
Essas metas podem incluir:
– Venda de bens ou serviços
– Entrega de serviços online
– Melhor atendimento ao cliente (por exemplo, permitindo a revisão on-line do seu telefone ou fatura do cartão de crédito)
– Aumento da eficiência do serviço (por exemplo, habilitar o autoatendimento on-line em vez de falar com um representante humano por telefone)
– Novas inscrições de serviço
– Geração de leads
– Consumo de unidades publicitárias
– Download de ativos ou aplicativos
– “Aderência” para um serviço, produto ou relacionamento
– Educação de mercado para produtos e marcas
– Influência da opinião pública em questões importantes para a organização que apresenta o site
Para cada um desses objetivos, poderíamos calcular o valor econômico
Por exemplo, a habilitação do serviço superior ao cliente se traduz em maior satisfação do cliente e em Net Promoter Scores, que, por sua vez, se traduz em melhorias na renovação, no aumento da participação da carteira e no boca-a-boca.
– O aumento da eficiência do serviço permite que o mesmo nível de serviço para o mesmo número de clientes seja fornecido a custos menores.
– Melhorar a geração de leads pode reduzir o custo por lead e adicionar receita de primeira linha.
– O aumento do uso de sites impulsionados por publicidade permite que mais blocos de anúncios sejam vendidos. E assim por diante.
– Em cada caso, melhorar o desempenho em relação a essa meta é diretamente benéfico para os negócios. E o indicador de segurança da barra de endereços verde, incluindo o nome da empresa em verde, pode, em cada caso, fazer exatamente isso.
Melhorar a confiança do usuário aumentará o uso do site e a propensão a participar de transações, o que, por sua vez, leva a todos os objetivos listados acima.
Embora a matemática do ROI seja diferente para cada um desses casos de uso, porque o esforço e o orçamento envolvidos na obtenção de certificados EV SSL são pequenos, o retorno esperado do investimento é enorme. Por apenas algumas centenas de dólares por ano e um dia ou dois a mais aguardando emissão de certificado, qualquer movimento mensurável nos KPIs de negócios on-line será mais do que justificado.
EV melhora a presença da marca online
Um ponto um pouco mais sutil no mesmo espírito que o aumento do uso do site é a impressão que um site faz sobre seus visitantes. Ao exibir um indicador de segurança visível, uma empresa está sinalizando vários fatos importantes para os visitantes do site. Esses fatos incluem:
– Esta empresa investe na melhor segurança da categoria.
– Este negócio se preocupa com o bem-estar dos clientes.
– Este negócio é eficaz operacionalmente.
– Fazer negócios com esta empresa é agradável e sem preocupações.
A sinalização dessas mensagens durante uma experiência on-line terá um Efeito Halo* na percepção geral da marca.
Considerando o grande investimento feito por muitas empresas na criação dessas impressões de marca, EV mais uma vez é uma maneira extremamente fácil e econômica de contribuir para esses esforços. Esses benefícios dependem das convenções da interface do navegador
Todos esses benefícios dependem da presença de uma exibição visual no navegador
– Para combater o phishing, um certificado EV precisa diferenciar visualmente sites reais de falsificações.
– Para contribuir com os requisitos de conformidade, os certificados EV precisam ser detectáveis como tal, para que possam combater o phishing.
– Para aumentar as transações e o uso do site, os certificados EV precisam estar visíveis aos usuários de uma maneira que siga as convenções de uma experiência mais segura.
– Para contribuir para a impressão positiva da marca, os certificados EV precisam ativar um sinal positivo para os usuários.
Os fabricantes de navegadores têm a oportunidade de aumentar a eficácia do EV, garantindo que a diferença entre Certificados Digitais EV e não-EV seja claramente visível e que os nomes comerciais e outras informações de identidade sejam fáceis para o usuário ver. Ou os navegadores podem diminuir ou ocultar informações de certificados EV e tirar esses benefícios. Para melhorar a segurança de seus usuários e da Internet como um todo, os fabricantes de navegadores precisam escolher o primeiro caminho e ajudar os usuários a se manterem protegidos contra falsificações on-line dos sites em que confiam.
*Se você assistiu o filme “Uma Mente Brilhante”, conhece o criador do Dilema do Prisioneiro: John Nash, Nobel em Economia. O dilema do prisioneiro faz referência a um problema da teoria dos jogos, sendo um exemplo claro, mas atípico, de um problema de soma não nula. Neste problema, como em muitos outros, supõe-se que cada jogador, de forma independente, quer aumentar ao máximo a sua própria vantagem sem lhe importunar o resultado do outro jogador.
** O Efeito Halo é a possibilidade de que a avaliação de um item, produto ou indivíduo possa, sob um algum viés, interferir no julgamento sobre outros importantes fatores, contaminando o resultado geral
Fonte: COMODO CA
COMODO alerta: Cibercriminosos transformam o Microsoft Excel em ferramenta de ataque