regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 12 de setembro de 2014

Substituindo certificados com Algoritmo SHA-1 por SHA-2


A Microsoft e o Google anunciaram seus planos para a desativação de certificados digitais SSL que utilizam o algoritmo SHA-1

Essa iniciativa gera mais segurança aos usuários da rede, visa reduzir o suporte aos chamados em função dos certificados SSL, acompanha a determinação dos líderes das indústrias de Autoridades Certificadoras e  Browser - Certification Authority / Browser (CA / B) Fórum e é o que recomenda o NIST (National Institute of Standards and Technology)

Após 31 de dezembro de 2015 os sites protegidos com certificados SHA-1 deixam de ter a proteção do SSL, pois os navegadores do Google não reconhecerão esses certificados como válidos.

Mas atenção: a partir de novembro de 2014, os navegadores Chrome versão 39 passarão a sinalizar alertas aos seus usuários:

SEGURO - com pequenos erros (imagem com triângulo amarelo)

SEM SEGURANÇA - (ícone de página em branco)

INSEGURO - (fechamento com um X vermelho)

Essas imagens serão exibidas aos usuários que acessarem os sites com certificados SSL SHA-1 com validade para além de 1 de janeiro de 2016 com navegadores Chrome 39.

A versão de produção do Chrome 39 está prevista para ser lançada em novembro de 2014.

No auge das compras de Black Friday e Natal.

Já a Microsoft informou que o Windows vai deixar de aceitar certificados SSL SHA-1 em 1 de janeiro de 2017.

Os planos de descontinuação do algoritmo SHA-1 também impactam os certificados digitais das Autoridades Certificadoras que terão que utilizar certificados intermediários SHA-2 para não quebrarem a cadeia de confiança que vai da AC Raiz aos usuários finais passando por seus navegadores.

Como a tecnologia evolui, é fundamental estar à frente daqueles que desejam derrotar tecnologias de criptografia em seu benefício malicioso.

A Symantec saiu na frente e está ajudando a tornar a Internet mais segura, permitindo de forma proativa, promover e elevar fortes padrões de criptografia dentro de SSL / TLS e certificados de assinatura de código.

Como parte desse esforço, a Symantec já está operando  e emitindo certificados digitais SHA-2 que estão disponíveis para a substituição sem custo adicional para seus clientes.

A iniciativa de migrar de SHA-1 para SHA-256 (SHA-2) sem custo é a contribuição da Symantec e de suas revendas espalhadas no mundo todo que aderirem ao programa de remissão gratuita para elevar o nível de segurança em sites seguros, comunicações de intranet e aplicativos.

Os certificados SHA-1 ainda podem ser emitidos, mas eles não devem exceder a validade além 31 de dezembro de 2015.

"Recomendamos fortemente aos clientes que  façam rapidamente um inventário de seus certificados SSL para efetuar a migração dos certificados com algoritmos SHA-1." Diz William Bergamo, presidente da  e-Safer - revenda Symantec no Brasil.

Hoje, dia 12 de setembro, falei pela manhã com William e ele me disse que a e-Safer foi uma das primeiras revendas da Symantec que aderiu a reemissão dos certificados SSL sem nenhum custo, mesmo que o cliente tenha adquirido os certificados em outra revenda Symantec.

"Como consultores em projetos de segurança da informação temos muita experiência para orientar o mercado nesse procedimentos me disse Willian Bergamo que me garantiu que o processo para reemissão será simples, mas os técnicos precisam estar muito atentos aos detalhes, por exemplo, se seus atuais servidores suportarão o algoritmo SHA-2.

Aqui estão alguns recursos para ajudar com a sua migração que a Symantec divulgou hoje nos USA:

- Teste para SHA-2 compatibilidade em aplicações exclusivas

- Identificar os certificados que têm um algoritmo SHA-1 utilizando o Toolbox SSL

- Saiba como gerar um novo certificado de assinatura Request (CSR)

- Obter instruções de instalação para certificados SSL

- Saiba como: instalar facilmente uma CSR em Microsoft IIS 6.0 ou 7.0 ou Red Hat usando servidores Assistente SSL

A e-Safer respondeu a alguma perguntas que fiz a eles.

O que acontecerá com os sites que possuem certificados SSL  SHA-1?
Resposta: Os usuários que utilizarem o navegador Chrome 39 a partir de novembro de 2014 receberão alertas que o site não é totalmente seguro.

A partir de 1 de janeiro de 2017, os navegadores Chrome e Microsoft não fecharão mais a conexão SSL com os certificados com algoritmo SHA-1.

O que devem fazer os administradores dos sites?
Resposta: Faça um inventário de seus certificados e planeje a migração dos certificados SSL SHA-1 antes de novembro de 2014.

Existe um custo para substituir um certificado afetada?
Resposta: A e-Safer com apoio da Symantec substituirá os certificados sem custo adicional.

O Algoritimo SHA-1 ainda é seguro? Por que os clientes precisam migrar? 

Resposta: Esses procedimentos fazem parte de um movimento mundial orquestrado pelas organizações líderes da indústria vinculados ao Certification Authority / Browser (CA / B) Fórum e estão proativamente buscando formas de ajudar os clientes a proteger seus ambientes e infra-estrutura. O Algoritmo SHA-1 tem sido um padrão da indústria amplamente aceito, no entanto, o algoritmo SHA-2 contém uma série de melhorias para reforçar a segurança. Além disso, o Instituto Nacional de Padrões (NIST) recomendou seu uso em vez de SHA-1.

A migração do algoritmo SHA-1 se aplica aos certificados de assinatura de código?
Resposta: Sim. Embora os certificados de assinatura de código não serão afetados pelos navegadores do Google, eles serão afetados pelos planos da Microsoft.

Quando os clientes devem migrar?
Resposta: Os clientes devem substituir os certificados que expiram depois de 31 dezembro de 2015, imediatamente ou até Novembro de 2014.

Todos os servidores suportam o certificado de SHA-2?
Resposta: Não. Cheque agora a documentação do seu servidor para garantir que ele suporta um certificado de SHA-2. Por isso, é importante não deixar tudo para cima da hora, pois se você tiver que providenciar novos servidores isso não ocorrerá da noite para o dia.

O que fazer se ainda tenho dúvidas?

Resposta:  Deixe um comentário logo abaixo, envie um e-mail para mim  rtupinamba@gmail.com ou ligue diretamente para a  e-Safer  Tel.: +55 11 3576-4539 / comercial@e-safer.com.br/ www.e-safer.com.br