O que é o Certificado de Servidor SSL?
Índice:
Como consumidores, aprendemos a confiar no ícone de cadeado que aparece na barra de endereços de nossos navegadores. Nos disseram que é um sinal de que nossa comunicação com um site é segura. Mas um incidente desta semana envolvendo o Google e uma empresa de segurança turca desmentiu essa idéia.
A empresa, TurkTrust, revelou esta semana que em agosto de 2011 ela emitiu acidentalmente duas chaves mestras para duas "entidades". As chaves mestras, que são chamadas de certificados intermediários, permitem que as entidades criem certificados digitais para qualquer domínio na Internet.
Certificados digitais são, na verdade, chaves de criptografia usadas para verificar se um site é o que ele diz ser. O certificado do seu banco, por exemplo, verifica para o seu navegador que você está realmente conversando com seu banco quando faz um serviço bancário online.
[Outras leituras: Como remover malware do seu PC com Windows]Os certificados são usados para criptografar informações entre você e um site também. É o que significa o cadeado verde na barra de endereços do seu navegador. O navegador está se comunicando com o site usando Secure Sockets Layer, após a verificação de sua autenticidade.
Um mau entendido na Internet com um certificado falso que pode interceptar a comunicação entre você e um site confiável pode enganar seu navegador e fazer com que ele se comunique com o site confiável e seqüestrar sua comunicação. Isso é chamado de "man in the middle attack" porque o ladrão fica entre você e o site confiável.
Erro corrigido, problema continua
O erro da TurkTust foi descoberto pelo Google na véspera de Natal por um recurso que possui em seu navegador Chrome plataforma que gera uma bandeira vermelha para o Google quando alguém tenta usar a plataforma com um certificado não autorizado.
Após descobrir o problema do certificado, o Google informou a TurkTrust da situação, bem como da Microsoft e Mozilla, que modificaram suas plataformas de navegador para bloquear os certificados não autorizados criados com a autoridade de certificação intermediária
Este certificado snafu é apenas o sinal mais recente de que o sistema existente de emissão de certificados digitais precisa ser consertado. Em março de 2011, por exemplo, uma empresa afiliada à autoridade de certificação Comodo foi violada e nove certificados falsos foram emitidos.
No final do ano, hackers violaram uma autoridade certificadora holandesa, a DigiNotar, e emitiram dúzias de certificados falsos, incluindo um para Google. As consequências desse incidente colocaram a empresa fora do mercado.
Procurados: Segurança de última geração
Várias propostas foram exibidas para tratar dos problemas de segurança que cercam os certificados.
Há Convergência. Ele permite que um navegador obtenha uma segunda opinião sobre um certificado de uma fonte escolhida por um usuário. "É uma idéia brilhante, mas assim que você entra em uma rede corporativa e está atrás de um proxy ou atrás de um tradutor de rede, ele pode quebrar", disse Chet Wisniewski, um consultor de segurança da Sophos, em entrevista. > Há DNSSEC. Ele usa o sistema de resolução de nomes de domínio - o sistema que transforma os nomes comuns de sites em números - para criar um link confiável entre o usuário e o site. Não só o sistema não é fácil de entender, mas a implementação pode levar anos.
"O problema com o DNSSEC é a implementação de uma nova tecnologia e uma atualização coordenada da infraestrutura antes que possamos aproveitá-la", disse Wisniewski. "Com as taxas de adoção que vimos até agora, isso significa que não teremos uma solução por dez ou 15 anos. Isso não é bom o suficiente."
Também são propostas duas técnicas de "pinning" - Pinagem de chave pública Extensão para HTTP e Asserções Confiáveis para Chaves de Certificado (TACK), que são semelhantes.
Elas permitem que um site altere um cabeçalho HTTP para identificar as autoridades de certificado nas quais ele confia. Um navegador armazenaria essas informações e só estabeleceria uma conexão com um site se recebesse um certificado assinado por uma autoridade de certificação confiável pelo site.
As propostas de fixação são as mais prováveis de serem adotadas para curar o problema do certificado, de acordo com Wisniewski. "Eles poderiam ser adotados em pouco tempo", disse ele. "Eles permitem que as pessoas que querem aproveitar a segurança avançada façam isso imediatamente, mas não quebra nenhum navegador existente que não esteja atualizado."
Qualquer que seja o esquema adotado pelos navegadores para resolver o problema do certificado, eles precisam faça logo. Caso contrário, o snafus continuará a proliferar e a confiança na Internet poderá ser irreparavelmente prejudicada.
Encargos de obscenidade levantam questões na era da Internet
O Departamento de Justiça dos EUA processou dois operadores de site por obscenidade, revivendo o debate sobre se os padrões da comunidade deveriam determinar se um conteúdo adulto é criminalmente obsceno
DigiYumi: Questões de segurança do Xbox Live Real Life
Uma entrevista com uma vítima do atual modelo de negócios predatórios da Microsoft para o Xbox Live que ficou sobrecarregado por 3 anos.
Como visualizar e verificar os Certificados de Segurança no navegador Chrome
O navegador Google Chrome moveu os detalhes do certificado SSL do site para as Ferramentas do desenvolvedor. Saiba como exibir, verificar, exibir certificados de segurança agora