regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

quinta-feira, 23 de outubro de 2014

Como foi o SSL's Day? Confira e não perca o próximo!



O evento foi ótimo! Precisamos repetir!

A SYMANTEC PROMOVEU DIA 22 DE OUTUBRO 
O EVENTO SSL’S DAY

O Evento teve origem em um debate entre Eder Souza e eu no grupo do Linkedin sobre Certificação Digital que gerencio. Eder participa bastante dos debates do grupo. É consultor de segurança da informação e co-fundador da e-Safer, uma empresa de consultoria de segurança que também fornece certificados digitais SSL’s Symantec.

Como atuei por 15 anos em uma Autoridade Certificadora e pelas questões que chegam para mim por meio desse blog, acabo tendo uma visão privilegiada sobre o que acontece nos bastidores das empresas em relação a aquisição dos certificados digitais SSL e resolvi compartilhar essa experiência com o grupo. Eder e eu trabalhamos juntos por muitos anos na Autoridade Certificadora e tomei a liberdade para provoca-lo a montar uma apresentação técnica sobre SSL direcionada aos profissionais de TI.

Nossa intenção era fazer com que os Cios percebessem a importância de voltarem novamente suas atenções para a aquisição e administração dos SSLs, uma vez que surgem a cada semana novas vulnerabilidades. Por desconhecimento em torno dessa tecnologia, por parte dos técnicos que estão à frente da administração dos certificados, as grandes empresas estão expostas e vulneráveis aos ataques.

Quando comecei a trabalhar com SSL da Verisign em 1999 os CIOs dos bancos e das grandes empresas, pessoalmente, tratavam da aquisição dos certificados digitais SSLs e quem conduzia o ciclo de vida e a administração dos certificados dentro das organizações era a área de segurança da informação. Com do tempo, passamos a ter como interlocutores profissionais de outras áreas e com menos conhecimento sobre a tecnologia. E assisti do outro lado do balcão as dificuldades que atualmente estão passando as grandes empresas que utilizam SSLs.

Então montamos o evento e tivemos o apoio da Symantec.

“Nós da Symantec apoiamos o evento porque é importante proporcionar ao mercado um momento de reflexão. Não exploramos apenas o espectro das vulnerabilidades a que a empresas estão expostas. O programa abordou a evolução das funcionalidades incorporadas aos Certificados SSLs ao logo dos anos e os tipos de certificados, seja pelo procedimento de validação ou funcionalidades. Apontamos ainda durante o evento SSL's Day como a prática de procedimentos e atualizações simples, sem nenhum gasto adicional, podem evitar algumas vulnerabilidades. Também como adquirir o certificado SSL correto, significa muitas vezes reduzir investimento sem comprometer a segurança das empresas.” Afirma o anfitrião do evento, Leandro Vicente que fez uma breve apresentação sobre o mercado de SSL brasileiro e mundial com informações de pesquisas realizadas. Leandro Vicente é Senior System Engineer da Symantec.

O evento foi gratuito e teve suas inscrições esgotadas em poucas horas após o convite,. Foi aberto pelo Leandro, por mim e pelo Willian Bergamo, presidente da e-Safer. Em seguida a apresentação foi conduzida por Eder Souza que seguiu a seguinte agenda:

Desvendando os certificados SSL
- A evolução técnica dos certificados SSL/TLS
- Tipos de certificados SSL/TLS por tipo de validação e funcionalidades
- A diferença entre os Certificados Digitais SSL, WildCard, SAN, EV, EV-MDC e MDC.
- Como CSR sem complicações?
- Quais as Instituições internacionais que regulam as regras das boas práticas de segurança dos servidores web.

Vulnerabilidades: HEARTBLEED e POODLE

O que tá rolando e você precisa entender
- Google dará mais relevância para busca orgânica aos sites com criptografia
- Recall de certificados SSL de SHA1 / SHA-2. Quais as ações que você precisa executar?

Eder se aprofundou na questão da geração das CSRs (Certificate Signing Request) e anunciou um aplicativoe que a e-Safer  desenvolveu  e vai disponibilizar para o mercado para a geração da CSR. Falou ainda da diferença do que eles desenvolveram para o que existe atualmente no mercado. O Aplicativo da e-Safer roda na máquina do cliente sem conexão com a internet e os aplicativos que estão disponíveis a CSR é gerada on line, uma super brecha de segurança.

Segundo Willian Bergamo, presidente a e-Safer, “o evento do dia 22 foi uma excelente oportunidade para apresentar ao mercado  problemas reais e soluções simples para que as empresas se preparem para eventualidades de forma correta. Não só apoiamos esta iniciativa como estamos dispostos a criar encontros regulares para trocar experiências entres profissionais de TI, Também faremos a convite da Regina, um treinamento em cima desse tema e já temos a Symantec como apoiadora desses treinamentos. Acertamos isso durante o evento de ontem”.

Aproveitamos, Susana Taboas, Ivan Marasco e eu para laçarmos oficialmente nosso portal CRYPTO ID ( www.cryptoid.com.br) que será a evolução natural do blog Certificação Digital. Não poderíamos ter escolhido melhor oportunidade para esse lançamento uma vez que a pauta foi sem dúvida uma das minhas matérias prediletas – Certificados Digitais SSL!

São descobertas a cada semana novas brechas de segurança que são entendidas por hackers e rapidamente divulgadas na rede. Essas vulnerabilidades permitem que servidores web sejam invadidos por hackers numa velocidade muito maior que as empresas levam para atualizarem seus sistemas de segurança e para blindarem seus servidores.

Precisamos mudar esse quadro rapidamente. E só com a disseminação do conhecimento poderemos vencer essa guerra.

Em breve faremos outra edição do SSL's Day por que o número de inscrições superou, e muito, nossas expectativas.

Meus agradecimentos especiais a todos que compareceram ao evento, ao Marcelo Dossi que nos prestigiou e ao Dyego Vale e Pedro Amaro que organizaram o primeiro SSL's Day!!

SSL Day é um evento gratuito organizado pelo Blog Certificação Digital/ Portal Crypto Id e apoiado pela e-Safer e Symantec.

Se quiser receber informações sobre o próximo eventos, escreva para mim. regina@cryptoid.com.br