São muitas as matérias publicadas recentemente sobre fraudes praticadas na internet com o uso de certificados digitais falsos.
Certificados
digitais SSL falsos?
O correto seria dizer que são
certificados digitais SSL de “falsas” Autoridades certificadoras que emitem o
certificado sem verificação de identidade de quem está adquirindo o certificado
digital. A validação da identidade do usuário é componente de maior custo do
certificado digital e então pular essa etapa reduz muito o custo
consequentemente o preço. Essa é a mágica de preços tão dispares entre os
fornecedores de certificados SSL.
O
mercado das autoridades certificadoras de terceira linha:
Esses comerciantes de certificados, verdadeiros mercenários virtuais, que emitem credenciais não verificadas tem um mercado comprador crescente, creio que apenas por enquanto. De
um lado estão os compradores “espertos”. São criminosos
virtuais que utilizam certificados falsos para roubar ou para a pratica de ações
políticas por meio de ataques cibernéticos. Doutro
lado, os compradores “ingênuos” que ao encontrar
certificados muito mais baratos que os preços praticados por Autoridades
Certificadoras de primeira linha, acham que estão fazendo a descoberta do
século. Economia que pode lhes trazer muita dor de cabeça.
Atenção aos responsáveis pelos sites:
Muita atenção de quem vão adquirir os certificados que protegem seus sites. A idoneidade da Autoridade Certificadora
é fundamental para garantir as boas práticas e também para evitar um clone idêntico do seu site com o intuito de iludir seus usuários e clientes e com isso conseguir a aplicação de um golpe com perda financeira para seus clientes ou para macular a imagem da sua marca.
As atividades das Autoridades certificadoras são baseadas em PROCEDIMENTOS RIGOROSOS, TRANSPARENTES, CONFIÁVEIS E AUDITADOS. Algumas ACs emitem certificados SSL sem nenhuma conferencia,
dai a possibilidade do fraudador copiar seu site e ainda colocar certificados
SSL iguais aos seus, ou seja, do mesmo fornecedor.
Como diferenciar seu site de um possível clone?
Destaque aos seus usuários, clientes ou visitantes as sinalizações de segurança do site,
Cite seu fornecedor de certificado digital,
Eduque sua audiência a verificar se seu endereço bate ( é o mesmo) com o que consta no certificado SSL e se o nome da sua empresa consta no certificado digital aplicado ao site,
Só adquira certificados digitais de Autoridades Certificadoras confiáveis que seguem as regras estabelecidas pelos organismos internacionais,
Selecione as Autoridades Certificadoras que exibem selos que conprovem a auditoria de terceiros aos seus procedimentos enquanto Autoridade Certificadora. Consulte WEBTRUST é a maior empresa de auditoria especializada em procedimentos de Autoridades Certificadoras - http://www.webtrust.org
Veja o que diz a organização The Certification Authority/Browser Forum. Essa organização dita os procedimentos que as ACs devem seguir para serem confiáveis. Emissão instantânea e sem chamada de verificação aos solicitantes? Isso é uma fria.
Selecione as Autoridades Certificadoras que exibam as Declaração de Práticas de Certificação Digital em seus sites e que seguem a regulamentação internacional para Políticas de Certificação com base na RFC 3647. Leia, e entenda a diferença entre os procedimentos.
Selecione a empresa que poderá lhe orientar quanto ao tipo de certificado adequado a sua personalizada arquitetura de segurança da informação.
Selecione a empresa que tem uma equipe de consultores técnicos de alto nível a sua disposição em casos de incidentes. Incidentes internos e vulnerabilidades genéricas que surgem em relação a falhas e bugs que podem interferir na sua estrutura de segurança e deixar sua empresa vulnerável.
Hoje em dia, ao adquirir seus certificados SSL você deve fazer um teste antes de fechar a compra. Ligue diretamente no suporte técnico que o fornecedor disponibiliza. Faça perguntas básicas. Só assim você conseguirá distinguir se na hora da crise essa empresa vai poder te orientar.
O que? Você adquire certificados digitais SSL e não
sabe o que é DPC - Declaração de
Práticas de Certificação Digital? Nunca leu?
Entenda o que é o esse documento
e porque você não pode ignora-lo ao adquirir certificados digitais para seus
servidores. Confira
nesse link o que é Declaração de Práticas de Certificação Digital.
O que significa ser verificado por uma verdadeira Autoridade
Certificadora de primeira linha?
O certificado digital SSL que
tem como função a criptografia dos dados e a identificação inequívoca do seu
site e tem a representatividade visual do Selo de Site Seguro. Isso é a sua
identidade na rede e deve diferenciar seu site dos fraudadores e dos aventureiros
do mundo online.
Por isso a relevância de quem lhe credencia no
mundo online.
Reflita sobre isso e analise sua
próxima aquisição de selos sem validação, ok?
Gostou do artigo? Compartilhe.