O Evento teve origem em um debate entre Eder Souza e eu no grupo do Linkedin sobre Certificação Digital que gerencio. Eder participa bastante dos debates do grupo. É consultor de segurança da informação e co-fundador da e-Safer, uma empresa de consultoria de segurança que também fornece certificados digitais SSL’s Symantec.
Como atuei por 15 anos em uma Autoridade Certificadora e pelas questões que chegam para mim por meio desse blog, acabo tendo uma visão privilegiada sobre o que acontece nos bastidores das empresas em relação a aquisição dos certificados digitais SSL e resolvi compartilhar essa experiência com o grupo. Eder e eu trabalhamos juntos por muitos anos na Autoridade Certificadora e tomei a liberdade para provoca-lo a montar uma apresentação técnica sobre SSL direcionada aos profissionais de TI.
Nossa intenção era fazer com que os Cios percebessem a importância de voltarem novamente suas atenções para a aquisição e administração dos SSLs, uma vez que surgem a cada semana novas vulnerabilidades. Por desconhecimento em torno dessa tecnologia, por parte dos técnicos que estão à frente da administração dos certificados, as grandes empresas estão expostas e vulneráveis aos ataques.
Quando comecei a trabalhar com SSL da Verisign em 1999 os CIOs dos bancos e das grandes empresas, pessoalmente, tratavam da aquisição dos certificados digitais SSLs e quem conduzia o ciclo de vida e a administração dos certificados dentro das organizações era a área de segurança da informação. Com do tempo, passamos a ter como interlocutores profissionais de outras áreas e com menos conhecimento sobre a tecnologia. E assisti do outro lado do balcão as dificuldades que atualmente estão passando as grandes empresas que utilizam SSLs.
Então montamos o evento e tivemos o apoio da Symantec.
“Nós da Symantec apoiamos o evento porque é importante proporcionar ao mercado um momento de reflexão. Não exploramos apenas o espectro das vulnerabilidades a que a empresas estão expostas. O programa abordou a evolução das funcionalidades incorporadas aos Certificados SSLs ao logo dos anos e os tipos de certificados, seja pelo procedimento de validação ou funcionalidades. Apontamos ainda durante o evento SSL’s Day como a prática de procedimentos e atualizações simples, sem nenhum gasto adicional, podem evitar algumas vulnerabilidades. Também como adquirir o certificado SSL correto, significa muitas vezes reduzir investimento sem comprometer a segurança das empresas.” Afirma o anfitrião do evento, Leandro Vicente que fez uma breve apresentação sobre o mercado de SSL brasileiro e mundial com informações de pesquisas realizadas. Leandro Vicente é Senior System Engineer da Symantec.
O evento foi gratuito e teve suas inscrições esgotadas em poucas horas após o convite,. Foi aberto pelo Leandro, por mim e pelo Willian Bergamo, presidente da e-Safer. Em seguida a apresentação foi conduzida por Eder Souza que seguiu a seguinte agenda:
Desvendando os certificados SSL
– A evolução técnica dos certificados SSL/TLS
– Tipos de certificados SSL/TLS por tipo de validação e funcionalidades
– A diferença entre os Certificados Digitais SSL, WildCard, SAN, EV, EV-MDC e MDC.
– Como CSR sem complicações?
– Quais as Instituições internacionais que regulam as regras das boas práticas de segurança dos servidores web.
Vulnerabilidades: HEARTBLEED e POODLE
O que tá rolando e você precisa entender
– Google dará mais relevância para busca orgânica aos sites com criptografia
– Recall de certificados SSL de SHA1 / SHA-2. Quais as ações que você precisa executar?
Eder se aprofundou na questão da geração das CSRs (Certificate Signing Request) e anunciou um aplicativoe que a e-Safer desenvolveu e vai disponibilizar para o mercado para a geração da CSR. Falou ainda da diferença do que eles desenvolveram para o que existe atualmente no mercado. O Aplicativo da e-Safer roda na máquina do cliente sem conexão com a internet e os aplicativos que estão disponíveis a CSR é gerada on line, uma super brecha de segurança.
Segundo Willian Bergamo, presidente a e-Safer, “o evento do dia 22 foi uma excelente oportunidade para apresentar ao mercado problemas reais e soluções simples para que as empresas se preparem para eventualidades de forma correta. Não só apoiamos esta iniciativa como estamos dispostos a criar encontros regulares para trocar experiências entres profissionais de TI, Também faremos a convite da Regina, um treinamento em cima desse tema e já temos a Symantec como apoiadora desses treinamentos. Acertamos isso durante o evento de ontem”.
Aproveitamos, Susana Taboas, Ivan Marasco e eu para laçarmos oficialmente nosso portal CRYPTO ID (www.cryptoid.com.br) que será a evolução natural do blog Certificação Digital. Não poderíamos ter escolhido melhor oportunidade para esse lançamento uma vez que a pauta foi sem dúvida uma das minhas matérias prediletas – Certificados Digitais SSL!
São descobertas a cada semana novas brechas de segurança que são entendidas por hackers e rapidamente divulgadas na rede. Essas vulnerabilidades permitem que servidores web sejam invadidos por hackers numa velocidade muito maior que as empresas levam para atualizarem seus sistemas de segurança e para blindarem seus servidores.
Precisamos mudar esse quadro rapidamente. E só com a disseminação do conhecimento poderemos vencer essa guerra.
Em breve faremos outra edição do SSL’s Day por que o número de inscrições superou, e muito, nossas expectativas.