Últimas notícias

Fique informado
CIOs devem ter mais atenção com SSL/TLS de suas empresas

CIOs devem ter mais atenção com SSL/TLS de suas empresas

10/03/2015

Spotlight

Leia o Parecer de Plenário sobre a MP 983/20 e diversos artigos e entrevistas

Leia também outros artigos e entrevistas sobre a MP 983 2020 publicados pelo Portal Crypto ID

12/08/2020

Câmara aprova MP 983 2020 que amplia uso de assinatura eletrônica

Todos os sistemas que utilizam assinatura eletrônica precisarão se adaptar às novas regras da MP983/2020 até o dia 1º de julho de 2021.

12/08/2020

Como gerenciar seus certificados TLS sob as novas regras do Google?

Em 01 de setembro de 2020, os principais navegadores passam a bloquear certificados TLS que têm um período superior a 398 dias.

10/08/2020

Quatro motivos para investir na autenticação de múltiplos fatores com Inteligência Artificial

Uma maneira de resolver problemas de acessos de usuários é aplicar sistemas de autenticação de múltiplos fatores, como a autenticação condicional.

10/08/2020

Presidente do ITI fala sobre a CertLive que abordou as MPs 951 e 983

Conversamos com Carlos Roberto Fortner sobre a primeira CertLive recebeu parlamentares e integrantes do governo brasileiro em torno das MPs 951 e 983 de 2020.

31/07/2020

Associações da Sociedade Civil manifestam seu apoio à aprovação da MP 951/2020

A MP autoriza a emissão dos certificados digitais, no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, por meio de videoconferência.

31/07/2020

O pequeno herói e sua conexão com a tecnologia para acesso ilimitado e seguro

Neste ebook apresentamos a história do pequeno herói neerlandês e sua conexão com a tecnologia do SafeSign e todo o ecossistema de soluções da AET – Unlimited access to your world.

22/07/2020

SSL: Tipos de certificados para proteger seu site

Vale a pena ler esse artigo para entender o que

24/11/2014

Google dá mais relevância aos sites que usam criptografia

A nova tese de rankeamento do Google sobre criptografia beneficiará

08/08/2014

Resolvi compartilhar com os senhores minha visão do outro lado do balcão onde convivi com muitos enganos no momento da compra de certificados digitais SSL/TLS.

Coisas que acontecem no andar de baixo e os Cios sequer desconfiam de tantos enganos. Meu intuito não é desmerecer seus profissionais, muito pelo contrário, mas apontar que esses profissionais precisam de mais atenção, apoio e conhecimento sobre o tema que a empresa deve lhes prover.

Cios, retomem para si a seleção dos certificados SSL/TLS e a escolha do fornecedor que apoiará sua equipe desde o entendimento do que sua empresa precisa, passando pela instalação dos certificados e principalmente, atenção se esse fornecedor saberá lhe apoiar em caso de incidentes.

 

Incidentes internos ou fruto do surgimento de novas vulnerabilidades que são entendidas por hackers e rapidamente divulgadas na rede. Quando isso acontece, você deve ter a seu lado um fornecedor que entenda o que está acontecendo, tenha agilidade e disponibilidade para lhe orientar e em quem você confie que não se aproveitará da situação para fazer você gastar mais do que precisa.

Sua atenção é necessária porque de um lado sua equipe não tem conhecimento e do outro, muitos novos fornecedores de certificados digitais SSL entraram no mercado sem ter preparo técnico para prestar o serviço de suporte.

Se acreditou por um longo tempo que comprar certificados digitais SSL era como comprar commodities. Mas devido aos recentes incidentes, o mercado está entendendo que comprar certificados digitais é contratar serviço e conhecimento técnico.

CIOS, RETOMEM PARA SI A SELEÇÃO DOS CERTIFICADOS SSL E A ESCOLHA DO FORNECEDOR OU PREPAREM SUAS EQUIPES PARA QUE NÃO ADQUIRAM CERTIFICADOS INADEQUADOS

E quando o comprador oficial de SSL/ TLS é a área de compras?

Quando a empresa delega a seleção do fornecedor a área de compra, ai sim o problema é mais sério. Por que? Os técnicos não são certeiros no que precisam comprar e os compradores compram os certificados mais baratos ou os mais caros, sem se importar muito com o entorno do que estão comprando.

Compram os SSLs como compram mouses ou vassouras. Não temos condições de explicar a diferença do que querem adquirir e o que realmente precisam.

Compram e depois precisam cancelar a compra, revogar os certificados, refazer contratos, retificar nota fiscal etc etc etc. Pensam que isso acontece só de vez em quando? Não, isso acontece rotineiramente. São as maiores vendas, uma vez que as empresas menores não têm essa área de compras tão mecanizada e emburrecida. E isso acontece com tíquetes acima dos 100 mil reais.

São exigidas alterações nas cláusulas dos contratos, mas nunca sequer ouviram falar em DPC. E é o que de fato vale no caso de um sinistro. O contrato é mera formalização entre o pedido e o pagamento. Leia o que é DPC neste artigo – CERTIFICAÇÃO DIGITAL – CRYPTO ID: O que é DPC …

Regina Tupinambá

Regina Tupinambá

 

Quando comecei a trabalhar com SSL em 1999, meu target eram os CIOs.

Eles decidiam e compravam pessoalmente os certificados. Com o tempo passamos a ter como interlocutores profissionais menos sêniores e com o passar dos tempos menos seniores ainda.

.

 

Só que as ofertas de SSL evoluíram além dos certificados 40 ou 128 bits, validação Full ou apenas validação de domínios. (TIPOS DE CERTIFICADOS SSL PARA PROTEGER SEU SITE).

Voltando ao que falava, surgiram outras opções como os certificados sub domínios, e o polêmico e temido wildcard, enfim, foi descoberto pelo mercado comprador.

Essa moçada não acompanha todas essas novidades, não há bibliografia disponível com facilidade.  Por exemplo, nem as novas regras de domínios e subdomínios ditadas pelo ICANN são divulgadas adequadamente e isso acaba gerando um problema sério no momento de comprar os certificados para esses servidores internos.

Não conseguem distinguir a variedade de ofertas dos tipos de certificados digitais SSL/TLS, muito menos entende sua personalizada arquitetura de segurança da informação. Chegam a comprar certificados Evs para servidores internos. Não estou falando de meia dúzia não, estou falando de muitos certificados no mesmo pedido.

Algumas regras foram sugeridas e/ou impostas ao mercado por organizações com a CA/Browser Fórum shutterstock_113692783(https://cabforum.org) e daí nasceram os certificados digitais EV.

Incrível, mas muitos técnicos não entendem que os certificados EVs são tecnicamente iguais aos outros certificados, o que muda é existe um ou dois passos a mais na validação (por isso o nome validação estendida!!!) e um campo especial para os navegadores reconhecerem e sinalizarem o verde ou vermelho para os visitantes dos sites. Esses certificados são muito mais caros mesmo, não por que sejam superiores tecnicamente, mas por que a validação é um dos componentes de custo mais significativos na composição do preço do certificado digital.

Quando falamos de soluções em nuvem, a coisa complica mais um pouco, por que desenham a estrutura e só depois pensam como vão aplicar os SSLs. Parece brincadeira? Mas não é. Muitas empresas enfrentam esse problema na prática.

Mantenho no Linkedin um grupo com o nome CERTIFICAÇÃO DIGITAL, um grupo pequeno com 1.200 participantes do

Evento SSL's Day

Evento SSL’s Day

mercado que trabalha com essa tecnologia e em e agosto, num dos calorosos debates sobre SSL, lancei um desafio ao Eder Souza da e-Safer ele topou na hora e a Symantec nos apoiou.

O objetivo foi a realização a realização de um evento sobre SSL e teve o nome de SSL’s Day.  Como escolher a melhor solução para sua empresa e os pontos críticos que devem ser observados antes de adquirirem os certificados.

O evento foi um sucesso. Confira aqui.

Pretendemos fazer outros eventos e treinamentos, assim  vamos levar ao mercado informações valiosas para que possam decidir pelas melhores soluções e para se prepararem para as vulnerabilidades eventuais.

Quer ficar informado sobre cursos eventos? Se inscreva no Portal CryptoID e fique ligado em tudo que gira em torno dos certificados SSL!

 

 

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

<