regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 27 de janeiro de 2012

SSL: Verificação de ID ainda é falha

Ericka Chickowski | Dark Reading
Segurança | 26 de janeiro de 2012

Com o lançamento da exploração Beast e a subsequente luta dos fornecedores de navegadores para encerrar vulnerabilidades contra autenticação SSL, muitas das discussões dos últimos meses sobre acreditação de rede são focadas nas fraquezas do protocolo SSL/TLS.

Mas como explicam alguns profissionais de TI, alguns dos maiores problemas não estão relacionados à tecnologia, e sim, às más práticas.

Segundo algumas pessoas, a culpa deve ser atribuída às autoridades de certificação (CAs), que deveriam fazer um melhor trabalho ao confirmar  propriedade de  identidade do certificado  para reforçar a credibilidade.

Segundo Bill Home, que dirige a William Warren Consulting,  “o SSL foi sobrecarregado com falhas processuais, e não técnicas”. A questão é simples no conceito e complicada na execução. A verificação de um usuário não pode ser feita de forma confiável por uma máquina. Em algum momento, a pessoa que tenta convencer o usuário de rede que seu certificado PKI é válido deve se aventurar no mundo real. Isto para se mostrar, antes de uma terceira parte neutra, que ele, ou sua empresa, pode utilizar o que está em seu certificado X.509 PKI.

Chet Wisniewski, conselheiro sênior de segurança da Sophos, é da mesma opinião de Horne, afirmando que  não acredita que o protocolo SSL é falho, além do fato de sua dependência em se apoiar no modelo antiquado de contar com as centrais CAs.

“Os métodos usados para verificar sua identidade são uma piada. É possível conseguir um certificado SSL para qualquer coisa. Por US$ 19  eles validam domínios, o que não significa muita coisa. Claro que possuir os certificados é melhor do que nada porque protege a pessoa contra coisas como o Firesheep [extensão do Mozilla Firefox que intercepta cookies não encriptados ]Mas deveriam ser gratuitas, e o fato de validarem quem são (no caso os proprietários do certificado) é pura bobagem”.

Segundo Horne, muitos CAs escolheram fingir que é possível automatizar o passo crítico de verificação de certificado de propriedade“É impossível, mas dá mais lucro fingir que é possível. Em suma: pagar humanos para verificar as identidades dos proprietários de certificado é caro, mas não há outra maneira confiável de fazê-lo”.

De fato, as CAs perceberam o tempo e fontes necessárias para realizar a o proceso de forma mais meticulosa: Foi daí que veio a ideia do certificado Extend Validation SSL. Quando foi lançado, há alguns anos, a ideia era cobrar mais para uma verificação mais extensa e oferecer um código “barra verde”, apresentado no endereço do navegador, para indicar que a URL tem um nível maior de confiabilidade.  “Quando você usa a validação estendida, ganha uma fantástica barra verde em seu navegador . O processo é um pouco mais rigoroso, mas ainda assim, não é a prova de falhas”, pontuou, por sua vez, Wisniewski.

Por exemplo, o custo para esses certificados EV-SSL ainda são altos e podem levar a problemas de “conteúdo misturado”, onde algumas páginas de um site podem estar protegidas com o certificado EV-SSL, umas com certificados normais e outras não codificadas. Esse é um problema que frequentemente leva a vulnerabilidades e mostra que tanto o CAs quanto os proprietários de sites têm responsabilidade no complicado ecossistema SSL.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini

Fonte: IT WEB

Excelente artigo que ressalta a fundamental importância da diferenciação entre as Autoridades Certificadoras e seus símbolos de confiança.


segunda-feira, 23 de janeiro de 2012

Projeto reduz preço de certificado digital para micro e pequenas empresas

 Bezerra: valores atuais inviabilizam pequenos negócios.Tramita na Câmara o Projeto de Lei 2647/11, do deputado Carlos Bezerra (PMDB-MT), que estabelece cobrança diferenciada do valor pago por micro e pequenas empresas para utilizar a tecnologia de Certificados Digitais da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).


 Pelo texto, o valor cobrado dessas empresas não poderá ser superior a 30% do valor especificado para médias e grandes empresas.

Os certificados digitais da ICP-Brasil permitem que empresas de qualquer porte possam interagir com os órgãos públicos das três esferas de Poder, de forma remota, sem a necessidade de deslocamento físico. Atualmente, a tecnologia também tornou possível a informatização dos processos judiciais, garantindo autenticidade e integridade dos documentos compartilhados pela internet.
“Esse contexto evidencia que uma empresa brasileira, de qualquer porte, não pode prescindir de um Certificado Digital”, afirma Bezerra. “No entanto, para grande parte das micro e pequenas empresas, os preços cobrados podem até inviabilizar o negócio”, completa o autor.
Tramitação

O projeto tem caráter conclusivo e será analisado pelas comissões de Desenvolvimento Econômico, Indústria e Comércio; de Ciência e Tecnologia, Comunicação e Informática; e de Constituição e Justiça e de Cidadania.

Íntegra da proposta:


Fonte: http://www.camara.gov.br/

O mercado já pratica preços diferenciados, veja abaixo ou direto na página de uma das Autoridades Certificadoras.