Matthew Prince, CEO e co-fundador do Cloudflare |
Como já diziam nossas avós: Quando a esmola é demais o santo desconfia!
Em declaração a imprensa o CEO e co-fundador do CloudFlare. Matthew Prince disse que estava liberando o serviço de SSL gratuito para todos os clientes interessados.
Explicou que ele resolveu fazer isso porque ele entendeu que essa seria sua missão: Ajudar a construir uma internet melhor e uma das coisas mais importantes que ele podia fazer era ativar o SSL Universal para todos os clientes pagantes e os não pagantes..
Ele disse: "Mesmo que isso faz mal a receita no curto prazo, é a coisa certa a fazer. Tendo criptografia de ponta pode não parecer importante para um pequeno blog, mas é fundamental para o avanço futuro criptografada por padrão da internet.
"Cada byte, porém aparentemente banais, que flui criptografados através da Internet faz com que seja mais difícil para aqueles que desejam interceptar, acelerador ou censurar a web.
"A internet é um sistema de crenças. No CloudFlare, temos orgulho de estarmos contribuindo para o sistema de crenças. E, depois de ter provado que SSL Universal é possível em nossa escala, esperamos muitas outras organizações nos siga e libere o SSL por todos os seus clientes e sem nenhum custo adicional. "
Ele reconheceu que o maior problema é o uso de navegadores antigos que não suportam a assinatura Elliptic Curve Digital Algorithm ( ECDSA ), no entanto, mais de 80% dos pedidos vêm de navegadores modernos (menos de seis anos de idade), e ele disse que percentual está crescendo rapidamente.
Ele disse também que espera que o SSL Universal incentive as pessoas a atualizarem seus navegadores e sistemas operacionais. "Às vezes, o progresso exige sacrificar alguma compatibilidade com versões anteriores", disse ele. "A boa notícia é que nenhum dos atuais clientes free do CloudFlare tinham anteriormente qualquer versão do SSL.
Matthew Príncipe disse ainda que este movimento irá dobrar o número de usuários de sites criptografados: "Ontem, havia cerca de dois milhões de sites ativos na internet com criptografia e até o final do dia de hoje, nós vamos ter que dobrou, declarou ele nessa quarta-feira dia 1º de outubro.
"Para um site que não tem atualmente SSL, será o padrão para o nosso modo SSL flexível, o que significa que o tráfego de navegadores para CloudFlare será criptografado, mas o tráfego de CloudFlare para servidor de origem não será criptografado. Para ser criptografado o proprietário do site precisará instalar um certificado em seu servidor web para que possamos criptografar o tráfego para a origem. Depois de instalar o certificado no servidor web e o modo SSL completo é possível criptografar o tráfego de origem e fornecer maior nível de segurança”.
Assim como os navegadores, ainda existe desafios com a carga da CPU e esgotamento do IPv4.
Ao ser questionado se os outros provedores vão seguir o seu exemplo, ele disse: "Nós não acreditamos que outros provedores sigam o mesmo caminho, pelo menos até que alguma pressão seja feita sobre eles.”
"No entanto, nós precisamos de mais navegadores de segurança avançada. Nós gostamos do que Cloudfare está fazendo e eles estão liderando o caminho para colocar a segurança do usuário em primeiro lugar. Nossa esperança é que a pressão o suficiente pode ser aplicada aos prestadores de serviços de comunicação e envergonhá-los para seguir o exemplo. "
Ontem no Grupo do Linkedin sobre Certificação digital foram colocados os seguintes pots sobre o assunto:
Parar de seguir Sergio
Cloudflare lança SSL gratuito
Sergio LealVP of Research and Development at ittruPrincipal contribuidor
Além de operar uma CDN de primeira linha gratuitamente, eles passam a ofecer certificados SSL de graça.
Como será que o mercado vai responder?
http://secutiryguru.blogspot.com.br/2014/09/cloudflare-lanca-ssl-gratuito.html
Security Guru: Cloudflare lança SSL gratuitosecutiryguru.blogspot.com.br
Security Guru: Cloudflare lança SSL gratuito
Eder Alvares. P.
Eder Alvares. P. Souza
Senior security consultant and co-founder at e-Safer Consultoria em Tecnologia da Informação
Sérgio pelo que eu entendi será um certificado provisionado pelo cloudflare que será implantado no servidor deles que atendem ao domínio do cliente. Assim, o cliente não irá gerar um par de chaves e receber o certificado e sim o pessoal da cloudflare irá gerar e disponibilizar um para o cliente. Inclusive o método que será praticado irá cifrar a conexão entre o visitando do site e o servidor da cloudflare e entre o servidor da cloudflare e o servidor do cliente não haverá cifra. Com isso, provavelmente o certificado utilizado será um simples domain validation e eles nem irão valiar a organização.
Pelo menos foi isso que eu entendi.
Abs.,
Eder Souza
Regina Tupinambá
CEO da Insania Publicidade e autora do Blog Certificação Digital
Isso é inacreditável!! Estamos vivendo uma enxorada de vulnerabilidades e ataques como nunca vistos e ainda existe espaço no mercado para certificados com apenas validação de domínio??
Eder Alvares. P. Souza
Senior security consultant and co-founder at e-Safer Consultoria em Tecnologia da Informação
Regina, sabemos quando custa uma validação segura e bem feita. Assim, sem custo somente certificado como esse e é a mesma prática adotada por empresas de hosting, isso quando o cara não compra um SAN DV e insere diversos clientes no mesmo certificado. Tudo para reduzir o custo ao máximo e segurança fica em segundo plano.
Abs.,
Eder Souza
Regina Tupinambá
CEO da Insania Publicidade e autora do Blog Certificação Digital
Eder, o problema é que nem todos os clientes entenderão que o que vale num SSL não é só a criptografia. Acreditarão que a Cloudflare está realmente proporcionando um item de segurança. Que bonzinhos...
A identificação numa cadeia de confiança é fundamental para a internet segura, como o Ceo da Cloudflare afirmou ontem que seria sua missão. Sem essa cadeia de confiança quem garante que o site do Bradesco é mesmo do Bradesco?
Um site idêntico pode estar criptografado por um hacker e as informações vão direto para os cibercrimonosos. SSL com validação de domínio não vale nada! E acho que o Prince - CEO da Cloldflare, não tem ideia do risco que ele esta expondo sua empresa.
Fácil assim: os hackers não precisam invadir servidores, basta colocarem um site clonado com criptografia, enviar uns spans e fisgar os iludidos para a armadilha! Muito mais simples que invadir o site, não acha?
Sergio
Sergio Leal
VP of Research and Development at ittru
Principal contribuidor
Amigos,
Esse assunto é bastante controvertido, ótima discussão.
Sempre apoiei a ideia de que pra cada tipo de necessidade existirá uma solução na medida certa. Assim, existe espaço para os certificados validados por organização (OV) e por domínio (DV).
Com a decisão do Google em favorecer os sites com HTTPS, a demanda de DV tinha tudo para disparar.
No caso do Cloudflare, a validação DV é automática, já que você teve que direcionar o seu DNS para apontar pra eles.
De qualquer maneira, estamos falando de operações que não exigem tanta segurança assim, uma vez que o Cloudflare já faz um man-in-the-middle.
Abs,
Sergio
Nenhum comentário:
Postar um comentário
Agradecemos sua participação.