A Microsoft e o Google anunciaram seus planos para a desativação de certificados digitais SSL que utilizam o algoritmo SHA-1
Essa iniciativa gera mais segurança aos usuários da rede, visa reduzir o suporte aos chamados em função dos certificados SSL, acompanha a determinação dos líderes das indústrias de Autoridades Certificadoras e Browser - Certification Authority / Browser (CA / B) Fórum e é o que recomenda o NIST (National Institute of Standards and Technology)
Após 31 de dezembro de 2015 os sites protegidos com certificados SHA-1 deixam de ter a proteção do SSL, pois os navegadores do Google não reconhecerão esses certificados como válidos.
Mas atenção: a partir de novembro de 2014, os navegadores Chrome versão 39 passarão a sinalizar alertas aos seus usuários:
SEGURO - com pequenos erros (imagem com triângulo amarelo)
SEM SEGURANÇA - (ícone de página em branco)
INSEGURO - (fechamento com um X vermelho)
Essas imagens serão exibidas aos usuários que acessarem os sites com certificados SSL SHA-1 com validade para além de 1 de janeiro de 2016 com navegadores Chrome 39.
A versão de produção do Chrome 39 está prevista para ser lançada em novembro de 2014.
No auge das compras de Black Friday e Natal.
Já a Microsoft informou que o Windows vai deixar de aceitar certificados SSL SHA-1 em 1 de janeiro de 2017.
Os planos de descontinuação do algoritmo SHA-1 também impactam os certificados digitais das Autoridades Certificadoras que terão que utilizar certificados intermediários SHA-2 para não quebrarem a cadeia de confiança que vai da AC Raiz aos usuários finais passando por seus navegadores.
Como a tecnologia evolui, é fundamental estar à frente daqueles que desejam derrotar tecnologias de criptografia em seu benefício malicioso.
A Symantec saiu na frente e está ajudando a tornar a Internet mais segura, permitindo de forma proativa, promover e elevar fortes padrões de criptografia dentro de SSL / TLS e certificados de assinatura de código.
Como parte desse esforço, a Symantec já está operando e emitindo certificados digitais SHA-2 que estão disponíveis para a substituição sem custo adicional para seus clientes.
A iniciativa de migrar de SHA-1 para SHA-256 (SHA-2) sem custo é a contribuição da Symantec e de suas revendas espalhadas no mundo todo que aderirem ao programa de remissão gratuita para elevar o nível de segurança em sites seguros, comunicações de intranet e aplicativos.
Os certificados SHA-1 ainda podem ser emitidos, mas eles não devem exceder a validade além 31 de dezembro de 2015.
"Recomendamos fortemente aos clientes que façam rapidamente um inventário de seus certificados SSL para efetuar a migração dos certificados com algoritmos SHA-1." Diz William Bergamo, presidente da e-Safer - revenda Symantec no Brasil.
Hoje, dia 12 de setembro, falei pela manhã com William e ele me disse que a e-Safer foi uma das primeiras revendas da Symantec que aderiu a reemissão dos certificados SSL sem nenhum custo, mesmo que o cliente tenha adquirido os certificados em outra revenda Symantec.
"Como consultores em projetos de segurança da informação temos muita experiência para orientar o mercado nesse procedimentos me disse Willian Bergamo que me garantiu que o processo para reemissão será simples, mas os técnicos precisam estar muito atentos aos detalhes, por exemplo, se seus atuais servidores suportarão o algoritmo SHA-2.
Aqui estão alguns recursos para ajudar com a sua migração que a Symantec divulgou hoje nos USA:
- Teste para SHA-2 compatibilidade em aplicações exclusivas
- Identificar os certificados que têm um algoritmo SHA-1 utilizando o Toolbox SSL
- Saiba como gerar um novo certificado de assinatura Request (CSR)
- Obter instruções de instalação para certificados SSL
- Saiba como: instalar facilmente uma CSR em Microsoft IIS 6.0 ou 7.0 ou Red Hat usando servidores Assistente SSL
A e-Safer respondeu a alguma perguntas que fiz a eles.
O que acontecerá com os sites que possuem certificados SSL SHA-1?
Resposta: Os usuários que utilizarem o navegador Chrome 39 a partir de novembro de 2014 receberão alertas que o site não é totalmente seguro.
Resposta: Os usuários que utilizarem o navegador Chrome 39 a partir de novembro de 2014 receberão alertas que o site não é totalmente seguro.
A partir de 1 de janeiro de 2017, os navegadores Chrome e Microsoft não fecharão mais a conexão SSL com os certificados com algoritmo SHA-1.
O que devem fazer os administradores dos sites?
Resposta: Faça um inventário de seus certificados e planeje a migração dos certificados SSL SHA-1 antes de novembro de 2014.
Existe um custo para substituir um certificado afetada?
Resposta: A e-Safer com apoio da Symantec substituirá os certificados sem custo adicional.
O Algoritimo SHA-1 ainda é seguro? Por que os clientes precisam migrar?
Resposta: Esses procedimentos fazem parte de um movimento mundial orquestrado pelas organizações líderes da indústria vinculados ao Certification Authority / Browser (CA / B) Fórum e estão proativamente buscando formas de ajudar os clientes a proteger seus ambientes e infra-estrutura. O Algoritmo SHA-1 tem sido um padrão da indústria amplamente aceito, no entanto, o algoritmo SHA-2 contém uma série de melhorias para reforçar a segurança. Além disso, o Instituto Nacional de Padrões (NIST) recomendou seu uso em vez de SHA-1.
A migração do algoritmo SHA-1 se aplica aos certificados de assinatura de código?
Resposta: Sim. Embora os certificados de assinatura de código não serão afetados pelos navegadores do Google, eles serão afetados pelos planos da Microsoft.
Quando os clientes devem migrar?
Resposta: Os clientes devem substituir os certificados que expiram depois de 31 dezembro de 2015, imediatamente ou até Novembro de 2014.
Todos os servidores suportam o certificado de SHA-2?
Resposta: Não. Cheque agora a documentação do seu servidor para garantir que ele suporta um certificado de SHA-2. Por isso, é importante não deixar tudo para cima da hora, pois se você tiver que providenciar novos servidores isso não ocorrerá da noite para o dia.
O que fazer se ainda tenho dúvidas?
Resposta: Deixe um comentário logo abaixo, envie um e-mail para mim rtupinamba@gmail.com ou ligue diretamente para a e-Safer Tel.: +55 11 3576-4539 / comercial@e-safer.com.br/ www.e-safer.com.br
Resposta: Não. Cheque agora a documentação do seu servidor para garantir que ele suporta um certificado de SHA-2. Por isso, é importante não deixar tudo para cima da hora, pois se você tiver que providenciar novos servidores isso não ocorrerá da noite para o dia.
O que fazer se ainda tenho dúvidas?
Resposta: Deixe um comentário logo abaixo, envie um e-mail para mim rtupinamba@gmail.com ou ligue diretamente para a e-Safer Tel.: +55 11 3576-4539 / comercial@e-safer.com.br/ www.e-safer.com.br
Fonte: Blog Certificação Digital baseado nas informações da e-Safer e Symantec.
Gostou? Compartilhe. Muita gente pode ser pega de surpresa na época de Black Friday e Natal!
Leia também
Gostou? Compartilhe. Muita gente pode ser pega de surpresa na época de Black Friday e Natal!
Leia também
- Google dá mais relevância aos sites que usam criptografia
- Brasil é o segundo país mais afetado por sites de phishing HTTPS
- List of Operating Systems, Browsers, and Servers Which Support SHA-256 Hashes in SSL Certificates
- ALERTA PARA OS CIOS DE GRANDES ORGANIZAÇÕES – SSL/...
- Google está preparando uma extensão do Chrome para criptografar e-mails
Nenhum comentário:
Postar um comentário
Agradecemos sua participação.