Ericka Chickowski | Dark Reading
Segurança | 26 de janeiro de 2012
Com o lançamento da exploração Beast e a subsequente luta dos fornecedores de navegadores para encerrar vulnerabilidades contra autenticação SSL, muitas das discussões dos últimos meses sobre acreditação de rede são focadas nas fraquezas do protocolo SSL/TLS.
Mas como explicam alguns profissionais de TI, alguns dos maiores problemas não estão relacionados à tecnologia, e sim, às más práticas.
Segundo algumas pessoas, a culpa deve ser atribuída às autoridades de certificação (CAs), que deveriam fazer um melhor trabalho ao confirmar propriedade de identidade do certificado para reforçar a credibilidade.
Segundo Bill Home, que dirige a William Warren Consulting, “o SSL foi sobrecarregado com falhas processuais, e não técnicas”. A questão é simples no conceito e complicada na execução. A verificação de um usuário não pode ser feita de forma confiável por uma máquina. Em algum momento, a pessoa que tenta convencer o usuário de rede que seu certificado PKI é válido deve se aventurar no mundo real. Isto para se mostrar, antes de uma terceira parte neutra, que ele, ou sua empresa, pode utilizar o que está em seu certificado X.509 PKI.
Chet Wisniewski, conselheiro sênior de segurança da Sophos, é da mesma opinião de Horne, afirmando que não acredita que o protocolo SSL é falho, além do fato de sua dependência em se apoiar no modelo antiquado de contar com as centrais CAs.
“Os métodos usados para verificar sua identidade são uma piada. É possível conseguir um certificado SSL para qualquer coisa. Por US$ 19 eles validam domínios, o que não significa muita coisa. Claro que possuir os certificados é melhor do que nada porque protege a pessoa contra coisas como o Firesheep [extensão do Mozilla Firefox que intercepta cookies não encriptados ]Mas deveriam ser gratuitas, e o fato de validarem quem são (no caso os proprietários do certificado) é pura bobagem”.
Segundo Horne, muitos CAs escolheram fingir que é possível automatizar o passo crítico de verificação de certificado de propriedade“É impossível, mas dá mais lucro fingir que é possível. Em suma: pagar humanos para verificar as identidades dos proprietários de certificado é caro, mas não há outra maneira confiável de fazê-lo”.
De fato, as CAs perceberam o tempo e fontes necessárias para realizar a o proceso de forma mais meticulosa: Foi daí que veio a ideia do certificado Extend Validation SSL. Quando foi lançado, há alguns anos, a ideia era cobrar mais para uma verificação mais extensa e oferecer um código “barra verde”, apresentado no endereço do navegador, para indicar que a URL tem um nível maior de confiabilidade. “Quando você usa a validação estendida, ganha uma fantástica barra verde em seu navegador . O processo é um pouco mais rigoroso, mas ainda assim, não é a prova de falhas”, pontuou, por sua vez, Wisniewski.
Por exemplo, o custo para esses certificados EV-SSL ainda são altos e podem levar a problemas de “conteúdo misturado”, onde algumas páginas de um site podem estar protegidas com o certificado EV-SSL, umas com certificados normais e outras não codificadas. Esse é um problema que frequentemente leva a vulnerabilidades e mostra que tanto o CAs quanto os proprietários de sites têm responsabilidade no complicado ecossistema SSL.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
Fonte: IT WEB
Excelente artigo que ressalta a fundamental importância da diferenciação entre as Autoridades Certificadoras e seus símbolos de confiança.