Autoridades certificadoras como DigiNotar e Comodo estão sempre nas manchetes, mas há uma ameaça maior à espreita da sua empresa...A falta de comprometimento das autoridades de certificado digital (CAs, da silga em inglês) com a segurança, como o da DigiNotar e da Comodo, tem levado alguns especialistas do setor a questionar a validade de certidões em geral.
Mas um relatório de pesquisa do Gartner identifica um risco mais difundido para as empresas: os certificados que expiram porque a organização faz um trabalho pobre para manter o controle dos mesmos. Um certificado expirado leva o acesso bloqueado para um servidor, website ou outro programa que, se é um serviço interno, resulta em dor de cabeça e tempo de inatividade. Caso seja um serviço externo, a organização pode ter a sua reputação manchada.
“A confiança é o elemento chave para tudo que fazemos em nosso mundo digital”, disse Eric Ouellet, analista do Gartner e coautor do relatório “X.509 Gerenciamento de certificado: evitando prejuízo e danos da marca”. X.509 é o formato padrão da indústria para criar certificados digitais, o quais ele comparou com um passaporte ou uma carteira de motorista.
Os certificados falham porque há muitos deles dentro de uma organização e os gerentes muitas vezes têm de verificar manualmente uma planilha para identificá-los, determinar as respectivas datas de vencimento e ativamente renová-los para que eles não expirem. O relatório diz ainda que os certificados de rastreamento podem se tornar complicados caso haja 200 ou mais deles dentro de uma organização.
Os certificados podem ser difíceis de controlar caso alguém crie um certificado e não diga nada a ninguém, segundo Ouellet. Um exemplo pode ser um desenvolvedor que cria um certificado de teste ao escrever uma aplicação e, simplesmente, deixa o certificado de lado enquanto implanta o aplicativo. Em outras situações, o desenvolvedor, a unidade de negócios, um integrador de sistemas ou uma pessoa de segurança de TI apontam o dedo um ao outro para passar a responsabilidade pelo certificado.
“Você precisa mapear os certificados, especialmente os de face externa, porque se você não acompanhá-los eles podem expirar sem que se perceba”, conta Ouellet.
O rastreamento manual também pode falhar se as Cas não forem identificadas, acrescenta o analista. Este problema, em particular, tem afetado os usuários da DigiNotar, na Holanda. Em 2011, 531 certificados foram roubados da DigiNotar, colocando em perigo sites populares como Google, Facebook, Twitter e Skype, assim como serviços de inteligência do governo, como a CIA ( Estados Unidos), MI6 (Grã-Bretanha) e Mossad (Israel).
O resultado é que a DigiNotar saiu do negócio e todos os certificados emitidos por ela foram imediatamente invalidados, afirmou Ouellet. Além disso, todos os líderes de navegadores Web, como o Internet Explorer, Google Chrome e Firefox foram modificados para bloquear os certificados da DigiNotar.
A autoridade certificadora Comodo também foi violada em 2011, porém a violação foi mais contida do que a da DigiNotar, assim os certificados da Comodo ainda são válidos. Mas, se uma organização não acompanhar a emissão de certificado da CA, ela pode ter certificados inválidos sem que possa perceber.
Existem sistemas automatizados de gerenciamento para descobrir os certificados em uma rede, identificar quem os emitiu, determinar sua validade e, em alguns casos, automaticamente renová-los.
O relatório do Gartner identifica as Venafi Director Series, o Certificado Trustwave Lifecycle Manager e o Centro de Inteligência Verisign como exemplos. No entanto, enquanto o Venafi e a Trustwave oferecem gerenciamento de certificados, independentemente da CA que lhes forneceu, o serviço Verisign apenas gerencia os certificados emitidos por ela mesma, empresa cujo certificado foi adquirido pela Symantec em 2010.
No Brasil, a CERTISIGN comercializa os certificados SSL da Verisign e oferece gerenciamento dos seus Certificados SSL através do serviço de MPKI SSL.
A MPKI SSL é uma console de administração dos certificados SSL que através de um certificado digital de administrador a organização acessa remotamente centro de controle dos certificados da Certisign.
As empresas validam seus certificados de uma só vez e esses ficam disponíveis para a emissão no momento em que for necessário. Através dessa console o administrador dos certificados visualizam todas as informações sobre os certificados, como data de emissão, expiração etc. E emitem e refogam os certificados sem que seja necessario a interação com a Autoridade Certificadora.
As empresas validam seus certificados de uma só vez e esses ficam disponíveis para a emissão no momento em que for necessário. Através dessa console o administrador dos certificados visualizam todas as informações sobre os certificados, como data de emissão, expiração etc. E emitem e refogam os certificados sem que seja necessario a interação com a Autoridade Certificadora.
Outro ponto importante sobre o controle de certificados expirados está ligado diretamente a LCR e a OCSP.
A Certisign, por exemplo, administra as listas de certificados inválidos em tempo real, OCSP (Online Certificate Status Protocol), ou Protocolo Online de Status de Certificados. tanto da hierarquia da Verisign quanto os certificados SSL emitidos na hierarquia da ICP BRASIL.
As demais Autoridades Certificadoras fazem essa verificação através da LCR (Lista de Certificados Revogados) e a periodicidade de atualização dessas listas chega a até 30 dias de acordo com a DPC – Declaração de Práticas de Certificação Digital, de cada Autoridade Certificadora.
Se vc administra mais de três certificados SSL, vale uma pesquisa em relação ao gerenciamento.
Fonte: itweb \complemento Blog Certificação Digital.
Nenhum comentário:
Postar um comentário
Agradecemos sua participação.