regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 27 de janeiro de 2012

SSL: Verificação de ID ainda é falha

Ericka Chickowski | Dark Reading
Segurança | 26 de janeiro de 2012

Com o lançamento da exploração Beast e a subsequente luta dos fornecedores de navegadores para encerrar vulnerabilidades contra autenticação SSL, muitas das discussões dos últimos meses sobre acreditação de rede são focadas nas fraquezas do protocolo SSL/TLS.

Mas como explicam alguns profissionais de TI, alguns dos maiores problemas não estão relacionados à tecnologia, e sim, às más práticas.

Segundo algumas pessoas, a culpa deve ser atribuída às autoridades de certificação (CAs), que deveriam fazer um melhor trabalho ao confirmar  propriedade de  identidade do certificado  para reforçar a credibilidade.

Segundo Bill Home, que dirige a William Warren Consulting,  “o SSL foi sobrecarregado com falhas processuais, e não técnicas”. A questão é simples no conceito e complicada na execução. A verificação de um usuário não pode ser feita de forma confiável por uma máquina. Em algum momento, a pessoa que tenta convencer o usuário de rede que seu certificado PKI é válido deve se aventurar no mundo real. Isto para se mostrar, antes de uma terceira parte neutra, que ele, ou sua empresa, pode utilizar o que está em seu certificado X.509 PKI.

Chet Wisniewski, conselheiro sênior de segurança da Sophos, é da mesma opinião de Horne, afirmando que  não acredita que o protocolo SSL é falho, além do fato de sua dependência em se apoiar no modelo antiquado de contar com as centrais CAs.

“Os métodos usados para verificar sua identidade são uma piada. É possível conseguir um certificado SSL para qualquer coisa. Por US$ 19  eles validam domínios, o que não significa muita coisa. Claro que possuir os certificados é melhor do que nada porque protege a pessoa contra coisas como o Firesheep [extensão do Mozilla Firefox que intercepta cookies não encriptados ]Mas deveriam ser gratuitas, e o fato de validarem quem são (no caso os proprietários do certificado) é pura bobagem”.

Segundo Horne, muitos CAs escolheram fingir que é possível automatizar o passo crítico de verificação de certificado de propriedade“É impossível, mas dá mais lucro fingir que é possível. Em suma: pagar humanos para verificar as identidades dos proprietários de certificado é caro, mas não há outra maneira confiável de fazê-lo”.

De fato, as CAs perceberam o tempo e fontes necessárias para realizar a o proceso de forma mais meticulosa: Foi daí que veio a ideia do certificado Extend Validation SSL. Quando foi lançado, há alguns anos, a ideia era cobrar mais para uma verificação mais extensa e oferecer um código “barra verde”, apresentado no endereço do navegador, para indicar que a URL tem um nível maior de confiabilidade.  “Quando você usa a validação estendida, ganha uma fantástica barra verde em seu navegador . O processo é um pouco mais rigoroso, mas ainda assim, não é a prova de falhas”, pontuou, por sua vez, Wisniewski.

Por exemplo, o custo para esses certificados EV-SSL ainda são altos e podem levar a problemas de “conteúdo misturado”, onde algumas páginas de um site podem estar protegidas com o certificado EV-SSL, umas com certificados normais e outras não codificadas. Esse é um problema que frequentemente leva a vulnerabilidades e mostra que tanto o CAs quanto os proprietários de sites têm responsabilidade no complicado ecossistema SSL.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini

Fonte: IT WEB

Excelente artigo que ressalta a fundamental importância da diferenciação entre as Autoridades Certificadoras e seus símbolos de confiança.


Nenhum comentário:

Postar um comentário

Agradecemos sua participação.