Com o lançamento da exploração Beast e a subsequente luta dos fornecedores de navegadores para encerrar vulnerabilidades contra autenticação SSL, muitas das discussões dos últimos meses sobre acreditação de rede são focadas nas fraquezas do protocolo SSL/TLS. Mas como explicam alguns profissionais de TI, alguns dos maiores problemas não estão relacionados à tecnologia, e sim, às más práticas.
Segundo algumas pessoas, a culpa deve ser atribuída às autoridades de certificação (CAs), que deveriam fazer um melhor trabalho ao confirmar propriedade de identidade do certificado para reforçar a credibilidade.
Segundo Bill Home, que dirige a William Warren Consulting, “o SSL foi sobrecarregado com falhas processuais, e não técnicas”. A questão é simples no conceito e complicada na execução. A verificação de um usuário não pode ser feita de forma confiável por uma máquina. Em algum momento, a pessoa que tenta convencer o usuário de rede que seu certificado PKI é válido deve se aventurar no mundo real. Isto para se mostrar, antes de uma terceira parte neutra, que ele, ou sua empresa, pode utilizar o que está em seu certificado X.509 PKI.
Chet Wisniewski, conselheiro sênior de segurança da Sophos, é da mesma opinião de Horne, afirmando que não acredita que o protocolo SSL é falho, além do fato de sua dependência em se apoiar no modelo antiquado de contar com as centrais CAs.
“Os métodos usados para verificar sua identidade são uma piada. É possível conseguir um certificado SSL para qualquer coisa. Por US$ 19 eles validam domínios, o que não significa muita coisa. Claro que possuir os certificados é melhor do que nada porque protege a pessoa contra coisas como o Firesheep [extensão do Mozilla Firefox que intercepta cookies não encriptados ]Mas deveriam ser gratuitas, e o fato de validarem quem são (no caso os proprietários do certificado) é pura bobagem”.
Segundo Horne, muitos CAs escolheram fingir que é possível automatizar o passo crítico de verificação de certificado de propriedade“É impossível, mas dá mais lucro fingir que é possível. Em suma: pagar humanos para verificar as identidades dos proprietários de certificado é caro, mas não há outra maneira confiável de fazê-lo”.
De fato, as CAs perceberam o tempo e fontes necessárias para realizar a o proceso de forma mais meticulosa: Foi daí que veio a ideia do certificado Extend Validation SSL. Quando foi lançado, há alguns anos, a ideia era cobrar mais para uma verificação mais extensa e oferecer um código “barra verde”, apresentado no endereço do navegador, para indicar que a URL tem um nível maior de confiabilidade. “Quando você usa a validação estendida, ganha uma fantástica barra verde em seu navegador . O processo é um pouco mais rigoroso, mas ainda assim, não é a prova de falhas”, pontuou, por sua vez, Wisniewski.
Por exemplo, o custo para esses certificados EV-SSL ainda são altos e podem levar a problemas de “conteúdo misturado”, onde algumas páginas de um site podem estar protegidas com o certificado EV-SSL, umas com certificados normais e outras não codificadas. Esse é um problema que frequentemente leva a vulnerabilidades e mostra que tanto o CAs quanto os proprietários de sites têm responsabilidade no complicado ecossistema SSL.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…