regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

quarta-feira, 20 de agosto de 2014

ALERTA PARA OS CIOS DE GRANDES ORGANIZAÇÕES – SSL/TLS


CIOS, RETOMEM PARA SI A SELEÇÃO DOS CERTIFICADOS SSL/TLS E A ESCOLHA DO FORNECEDOR OU PREPAREM SUAS EQUIPES PARA QUE NÃO ADQUIRAM CERTIFICADOS INADEQUADOS.









Resolvi compartilhar com os senhores minha visão do outro lado do balcão onde convivi com muitos enganos no momento da compra de certificados digitais SSL/TLS. Coisas que acontecem no andar de baixo e os Cios sequer desconfiam de tantos enganos. Meu intuito não é desmerecer seus profissionais, muito pelo contrário, mas apontar que esses profissionais precisam de mais atenção, apoio e conhecimento sobre o tema que a empresa deve lhes prover.

Cios, retomem para si a seleção dos certificados SSL/TLS e a escolha do fornecedor que apoiará sua equipe desde o entendimento do que sua empresa precisa, passando pela instalação dos certificados e principalmente, atenção se esse fornecedor saberá lhe apoiar em caso de incidentes.

Incidentes internos ou fruto do surgimento de novas vulnerabilidades que são entendidas por hackers e rapidamente divulgadas na rede. Quando isso acontece, você deve ter a seu lado um fornecedor que entenda o que está acontecendo, tenha agilidade e disponibilidade para lhe orientar e em quem você confie que não se aproveitará da situação para fazer você gastar mais do que precisa.

Sua atenção é necessária porque de um lado sua equipe não tem conhecimento e do outro, muitos novos fornecedores de certificados digitais SSL entraram no mercado sem ter preparo técnico para prestar o serviço de suporte. Também os antigos fornecedores tinham profissionais mais sêniores próximos ao suporte técnico que lhe prestava atendimento e isso não é mais a realidade do mercado.

Se acreditou por um longo tempo que comprar certificados digitais SSL era como comprar commodities. Mas devido aos recentes incidentes, o mercado está entendendo que comprar certificados digitais é contratar serviço e conhecimento técnico.

Lamentável mesmo é quando o comprador oficial de SSL/ TLS é a área de compras.

Quando a empresa delega a seleção do fornecedor a área de compra, ai sim o problema é mais sério. Por que? Os técnicos não são certeiros no que precisam comprar e os compradores compram os certificados mais baratos ou os mais caros, sem se importar muito com o entorno do que estão comprando. Compram os SSLs como compram mouses ou vassouras. Não temos condições de explicar a diferença do que querem adquirir e o que realmente precisam. Compram e depois precisam cancelar a compra, revogar os certificados, refazer contratos, retificar nota fiscal etc etc etc. Pensam que isso acontece só de vez em quando? Não, isso acontece rotineiramente. São as maiores vendas, uma vez que as empresas menores não têm essa área de compras tão mecanizada e emburrecida. E isso acontece com tíquetes acima dos 100 mil reais.

São exigidas alterações nas cláusulas dos contratos, mas nunca sequer ouviram falar em DPC. E é o que de fato vale no caso de um sinistro. O contrato é mera formalização entre o pedido e o pagamento. Leia o que é DPC neste artigo - CERTIFICAÇÃO DIGITAL - CRYPTO ID: O que é DPC ...

Quando comecei a trabalhar com SSL em 1999, meu target eram os CIOs. Eles decidiam e compravam pessoalmente os certificados. Com o tempo passamos a ter como interlocutores profissionais menos sêniores e com o passar dos tempos menos seniores ainda.

Só que as ofertas de SSl evoluíram além dos certificados 40 ou 128 bits, validação Full ou apenas validação de domínios. (TIPOS DE CERTIFICADOS SSL PARA PROTEGER SEU SITE).

Voltando ao que falava, surgiram outras opções como os certificados sub domínios, e o polêmico e temido wildcard, enfim, foi descoberto pelo mercado comprador.

Essa moçada não acompanha todas essas novidades, não há bibliografia disponível com facilidade.  Por exemplo, nem as novas regras de domínios e subdomínios ditadas pelo ICANN são divulgadas adequadamente e isso acaba gerando um problema sério no momento de comprar os certificados para esses servidores internos.

Não conseguem distinguir a variedade de ofertas dos tipos de certificados digitais SSL/TLS, muito menos entende sua personalizada arquitetura de segurança da informação. Chegam a comprar certificados Evs para servidores internos. Não estou falando de meia dúzia não, estou falando de mais 200 certificados.

Algumas regras foram sugeridas e/ou impostas ao mercado por organizações com a CA/Browser Fórum (https://cabforum.org) e daí nasceram os certificados digitais EV. Incrível, mas muitos técnicos não entendem que os certificados EVs são tecnicamente iguais aos outros certificados, o que muda é existe um ou dois passos a mais na validação (por isso o nome validação estendida!!!) e um campo especial para os navegadores reconhecerem e sinalizarem o verde ou vermelho para os visitantes dos sites. Esses certificados são muito mais caros mesmo, não por que sejam superiores tecnicamente, mas por que a validação é um dos componentes de custo mais significativos na composição do preço do certificado digital.

Quando falamos de soluções em nuvem, a coisa complica mais um pouco, por que desenham a estrutura e só depois pensam como vão aplicar os SSLs. Parece brincadeira? Mas não é. Muitas empresas enfrentam esse problema na prática.

Mantenho no Linkedin um grupo com o nome CERTIFICAÇÃO DIGITAL, um grupo pequeno com 1.200 participantes do mercado que trabalha com essa tecnologia. Ontem dia 18 de agosto, num dos calorosos debates sobre SSL, lancei um desafio ao Eder Souza da e-Safer ele topou na hora. Pedi que eles me ajudem a fazer uma pesquisa sobre o conhecimento dos administradores de redes sobre os certificados SSL/TLS.

O objetivo seria a realização de uma pesquisa de mercado aplicada por um instituto de pesquisa sobre o índice de conhecimento sobre o tema e as principais dificuldades que enfrentam esses profissionais. Logo após a pesquisa faremos uma palestra sobre os certificados digitais SSLs. Como escolher a melhor solução para sua empresa e os pontos críticos que devem ser observados antes de adquirirem os certificados.

Conheço o pessoal da e-Safer porque trabalhamos juntos por muitos anos. Eder Souza e Willian Bergamo me apoiaram muitas vezes para resolver graves problemas na Autoridade Certificadora em que trabalhávamos. Eles eram para mim o suporte nível 5 dentro da Cia. Estou muito à vontade em envolve-los nesse meu projeto de pesquisa para o Blog e esclarecimento sobre o tema, porque hoje não tenho nenhuma ligação comercial com os SSLs e apesar da minha vivência nesse mercado, não detenho o conhecimento técnico suficiente para tocar esse projeto sozinha.

Pretendo fazer o evento sem custos para os participantes, assim como mantenho esse blog desde 2009 sem nenhuma ajuda financeira, mas para realizar o evento gratuito precisarei contar com apoiadores.
Vamos agora preparar esse projeto e divulgarei em breve aqui pelo blog.

Sugestões e apoio, rtupinamba@gmail.com.

Sobre Regina Desde 1995 se dedica ao comércio eletrônico em especial ao segmento da Certificação Digital. Formada em Publicidade e Propaganda pela PUC Rio. Trabalhou por 14 anos na Certisign Certificadora Digital como diretora responsável pelas áreas de Marketing e Comercial.
Hoje é CEO da Agência de propaganda Insania Publicidade (www.insania.com.br), autora do Blog Certificação Digital e gerência um seleto grupo do Linkedin com esse mesmo nome. E-mail rtupinamba@gmail.com

Sobre e-Safer A e-Safer possui larga e sólida experiência no fornecimento de soluções de Segurança da Informação, com amplo atendimento a distintos setores da economia, como financeiro, telco, utilities, público, indústria, educação, varejo, transporte e logística. www.e-safer.com.br

Leia também:

Substituindo certificados com Algoritmo SHA-1 por SHA-2

Sites que usam criptografia serão mais bem rankeados pelo Google