São muitas as matérias publicadas recentemente sobre fraudes praticadas na internet com o uso de certificados digitais falsos.
Certificados digitais SSL falsos?
O correto seria dizer que são certificados digitais SSL de “falsas” Autoridades certificadoras que emitem o certificado sem verificação de identidade de quem está adquirindo o certificado digital. A validação da identidade do usuário é componente de maior custo do certificado digital e então pular essa etapa reduz muito o custo consequentemente o preço. Essa é a mágica de preços tão dispares entre os fornecedores de certificados SSL.
O mercado das autoridades certificadoras de terceira linha:
Esses comerciantes de certificados, verdadeiros mercenários virtuais, que emitem credenciais não verificadas tem um mercado comprador crescente, creio que apenas por enquanto. De um lado estão os compradores “espertos”. São criminosos virtuais que utilizam certificados falsos para roubar ou para a pratica de ações políticas por meio de ataques cibernéticos. Doutro lado, os compradores “ingênuos” que ao encontrar certificados muito mais baratos que os preços praticados por Autoridades Certificadoras de primeira linha, acham que estão fazendo a descoberta do século. Economia que pode lhes trazer muita dor de cabeça.
Atenção aos responsáveis pelos sites:
Muita atenção de quem vão adquirir os certificados que protegem seus sites. A idoneidade da Autoridade Certificadora é fundamental para garantir as boas práticas e também para evitar um clone idêntico do seu site com o intuito de iludir seus usuários e clientes e com isso conseguir a aplicação de um golpe com perda financeira para seus clientes ou para macular a imagem da sua marca.
As atividades das Autoridades certificadoras são baseadas em PROCEDIMENTOS RIGOROSOS, TRANSPARENTES, CONFIÁVEIS E AUDITADOS. Algumas ACs emitem certificados SSL sem nenhuma conferencia, dai a possibilidade do fraudador copiar seu site e ainda colocar certificados SSL iguais aos seus, ou seja, do mesmo fornecedor.
Como diferenciar seu site de um possível clone?
Destaque aos seus usuários, clientes ou visitantes as sinalizações de segurança do site,
Cite seu fornecedor de certificado digital,
Eduque sua audiência a verificar se seu endereço bate ( é o mesmo) com o que consta no certificado SSL e se o nome da sua empresa consta no certificado digital aplicado ao site,
Só adquira certificados digitais de Autoridades Certificadoras confiáveis que seguem as regras estabelecidas pelos organismos internacionais,
Selecione as Autoridades Certificadoras que exibem selos que conprovem a auditoria de terceiros aos seus procedimentos enquanto Autoridade Certificadora. Consulte WEBTRUST é a maior empresa de auditoria especializada em procedimentos de Autoridades Certificadoras – http://www.webtrust.org
Veja o que diz a organização The Certification Authority/Browser Forum. Essa organização dita os procedimentos que as ACs devem seguir para serem confiáveis. Emissão instantânea e sem chamada de verificação aos solicitantes? Isso é uma fria.
Selecione as Autoridades Certificadoras que exibam as Declaração de Práticas de Certificação Digital em seus sites e que seguem a regulamentação internacional para Políticas de Certificação com base na RFC 3647. Leia, e entenda a diferença entre os procedimentos.
Selecione a empresa que poderá lhe orientar quanto ao tipo de certificado adequado a sua personalizada arquitetura de segurança da informação.
Selecione a empresa que tem uma equipe de consultores técnicos de alto nível a sua disposição em casos de incidentes. Incidentes internos e vulnerabilidades genéricas que surgem em relação a falhas e bugs que podem interferir na sua estrutura de segurança e deixar sua empresa vulnerável.
Hoje em dia, ao adquirir seus certificados SSL você deve fazer um teste antes de fechar a compra. Ligue diretamente no suporte técnico que o fornecedor disponibiliza. Faça perguntas básicas. Só assim você conseguirá distinguir se na hora da crise essa empresa vai poder te orientar.
O que? Você adquire certificados digitais SSL e não sabe o que é DPC – Declaração de Práticas de Certificação Digital? Nunca leu?
O que significa ser verificado por uma verdadeira Autoridade Certificadora de primeira linha?
O certificado digital SSL que tem como função a criptografia dos dados e a identificação inequívoca do seu site e tem a representatividade visual do Selo de Site Seguro. Isso é a sua identidade na rede e deve diferenciar seu site dos fraudadores e dos aventureiros do mundo online.
Por isso a relevância de quem lhe credencia no mundo online.
Reflita sobre isso e analise sua próxima aquisição de selos sem validação, ok?
Gostou do artigo? Compartilhe.
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.