Sustentando a Segurança dos Certificados Digitais: Análise do Comunicado do Google e Impactos no Mercado
Os sites utilizam certificados digitais para validar sua identidade e fornecer chaves de criptografia públicas que permitem ao navegador estabelecer uma conexão segura. No entanto, o navegador não confia em qualquer certificado. Em vez disso, ele possui uma lista interna de emissores de certificados confiáveis (conhecida como armazenamento raiz) com os quais estabelecerá automaticamente uma conexão segura.
Ontem, dia 27 de junho de 2024, o Google publicou um comunicado importante em seu blog de segurança, abordando a desconfiança nos certificados digitais emitidos pela Entrust. Este artigo visa detalhar os aspectos técnicos do comunicado, analisar as repercussões no mercado e explorar as possíveis ações da Entrust.
Segundo um especialista do mercado TLS com quem conversamos parece que essa “desacreditação” está ocorrendo devido a vários incidentes com os certificados da Entrust nos últimos anos, que não foram bem resolvidos e segundo o Google, os principais motivos são:
- Falhas de conformidade: Não aderir às melhores práticas do setor para operações de CA.
- Compromissos não cumpridos: Não cumprir promessas de melhorar as medidas de segurança.
- Falta de progresso: Não abordar de forma demonstrável as vulnerabilidades identificadas em relatórios públicos de incidentes.
Contexto e Detalhes Técnicos
O comunicado do Google destaca a decisão de descontinuar a confiança em certos certificados digitais emitidos pela Entrust. A medida foi tomada após a identificação de falhas no cumprimento das políticas de segurança e conformidade estabelecidas pelo Chrome Root Program.
A partir de 31 de outubro de 2024, os certificados emitidos pela Entrust não serão mais confiáveis pelo Chrome por padrão. Isso não significa que os usuários do Chrome ficarão sem acesso aos sites que utilizam certificados da Entrust; eles apenas terão que habilitar manualmente a confiança na Entrust – da mesma forma que ocorre no Brasil com os visitantes dos sites que possuem os certificados digitais TLS emitidos na hierarquia da ICP-Brasil precisam fazer – para não enfrentar uma tela de aviso ao visitar tais sites. Essa mudança afetará todos os usuários do Chrome, com exceção daqueles no iOS.
A partir de 01 de Novembro o navegador Google Chrome bloqueará a navegação em sites que tiverem certificados da Entrust. Segundo o Google, este bloqueio acontecerá somente na versão 127 do Google Chrome
A principal preocupação do Google é garantir que os certificados digitais utilizados na web mantenham um alto padrão de segurança, protegendo os usuários contra possíveis ataques e fraudes.
A decisão de descontinuar a confiança em certificados específicos é uma medida preventiva para evitar vulnerabilidades que possam ser exploradas por agentes maliciosos.
Impacto no Mercado
A reação do mercado ao comunicado do Google levou empresas que utilizam certificados emitidos pela Entrust revisarem suas infraestruturas de segurança para garantir a conformidade com as novas diretrizes. Isso poderá levar algumas empresas à migração para outros provedores de certificados digitais, impactando diretamente a posição de mercado da Entrust.
Além disso, a decisão do Google reforça a importância de manter altos padrões de segurança e conformidade na emissão de certificados digitais.
Empresas de segurança da informação e profissionais técnicos devem estar atentos às mudanças nas políticas de confiança dos navegadores e adaptar suas práticas para garantir a segurança contínua de suas operações online.
Possíveis Ações da Entrust
Embora não tenha sido encontrada uma nota oficial da Entrust sobre o comunicado do Google – até o momento que o Crypto ID escreveu essa matéria – , é provável que a empresa esteja implementando medidas corretivas para resolver as questões levantadas.
A Entrust é reconhecida por seu compromisso contínuo com a segurança e a integridade dos certificados digitais, e deve estar trabalhando para garantir que todos os certificados emitidos atendam aos critérios de segurança exigidos pelo Chrome Root Program.
Conclusão
O comunicado do Google sobre a desconfiança nos certificados da Entrust destaca a importância de manter altos padrões de segurança na emissão de certificados digitais. A reação do mercado e as possíveis medidas corretivas adotadas pela Entrust refletem a seriedade com que a segurança da informação é tratada no setor.
Profissionais técnicos e de segurança da informação devem estar atentos às mudanças nas políticas de confiança dos navegadores e garantir que suas infraestruturas de segurança estejam sempre em conformidade com os padrões mais recentes. A colaboração entre empresas de tecnologia e provedores de certificados é essencial para manter a confiança e a segurança na web.
Com informações do Google
Entrevista com Marco Américo, CEO da CertiSign sobre nova política do Google para certificados TLS
Chrome terá preparando seu próprio armazenamento de raiz de certificado
SSL | Google Adverte Symantec por causa de certificados de segurança falsos
Google Alertará Usuários sobre Sites sem Certificado SSL
Por que meu SSL deve expirar a cada 3 meses? Por Nick França, CTO de SSL na Sectigo
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
Ao anunciar no CRYPTO ID, sua organização contribui para a divulgação de inovações tecnológicas que visam agregar segurança ao relacionamento entre empresas e indivíduos no ambiente eletrônico para possibilitar transações eletrônicas seguras e confiáveis em ambientes públicos e privados.
By advertising with CRYPTO ID, your organization contributes to the dissemination of technological innovations that enable secure and reliable electronic transactions between businesses and individuals.
Fale com a gente: +55 11 3881-0053 ou contato@cryptoid.com.br