Por Laila Robak
Para auxiliar no entendimento do que é a Transparência de Certificado (CT) e qual a sua importância, reunimos alguns artigos que trazem informações mais detalhadas sobre esse tema.
O projeto CT representa uma estrutura aberta para monitoramento e auditoria da emissão de certificados SSL por Autoridades Certificadoras (AC), que permite detectar o mal uso de certificados e/ou emissões feitas de maneira inadequada. Essa transparência é possível, pois todos os certificados emitidos são publicados em registros CT qualificados e de acesso público, permitindo que os clientes monitorem esses registros para visualizar os certificados emitidos para seus domínios e, assim, e possibilitando a detecção de possíveis problemas ou fraudes em poucos minutos.
Os registros CT funcionam apenas para adição dos certificados, contendo somente o material público do mesmo, sem expôr qualquer informação privada. O processo é simples, e o formato do certificado enviado pode variar, mas de maneira geral, quando a solicitação de inclusão no CT é enviada (com o envio de um certificado; de um pré-certificado formato X.509v3; TLS; ou OCSP Stapling), o CT criará um Selo de Tempo de Certificado Assinado (Signed Certificate Timestamp – SCT), comprovando que o certificado será registrado dentro de um certo período de tempo. De acordo com o tipo de submissão e tipo de certificado submetido, o SCT será incorporado ao certificado de tal maneira que durante a conexão (handshake) entre o navegador e o servidor o SCT também será enviado, demonstrando assim que o certificado se encontra publicado na lista de transparência.
O Projeto de Transparência de Certificados possui três principais objetivos:
1. Aumentar a velocidade na detecção de certificados emitidos sem conhecimento do dono domínio, certificados maliciosos e certificados falsos
2. Oferecer um sistema de monitoramento e auditoria aberto que permita a qualquer pessoa ou entidade determinar se certificados foram emitidos inadequadamente
3. Aumentar a velocidade da mitigação desses certificados fraudulentos após sua detecção
Os certificados de validação estendida (ExtendedSSL) e de validação de Domínio (AlphaSSL e DomainSSL) da GlobalSign já estão em conformidade com as diretrizes do CT, pois nós prezamos pela segurança e proteção não somente dos nossos clientes, mas de toda a internet.
by Laila Robak