Em julho de 2011, uma auditoria interna descobriu uma invasão na infraestrutura da autoridade de certificação (CA) DigiNotar, indicando o comprometimento de suas chaves de criptografia. A violação dessas chaves possibilitou a emissão fraudulenta de certificados de chave pública para várias dezenas de domínios, incluindo o domínio Google.com. Logo após o incidente, a DigiNotar revogou todos os certificados relacionados, realizou uma auditoria de segurança por terceiros e, em seguida, tentou revogar os certificados pendentes que haviam sido afetados. Após 19 de julho, a DigiNotar acreditava que todos os certificados fraudulentos haviam saído de circulação com a revogação.
Infelizmente, algumas semanas depois (WHEN WAS THIS EXACTLY), descobriu-se que ainda havia instâncias de certificados fraudulentos em circulação. Em 28 de agosto de 2011, foi descoberto um certificado SSL curinga da DigiNotar — falsificado — emitido para a Google. A Google anunciou que esse certificado afetava principalmente os usuários do Gmail no Irã.
Em dezembro de 2012, a TURKTRUST, uma Autoridade de Certificação turca, emitiu erroneamente dois certificados CA intermediários para duas organizações da Turquia. Com esses certificados intermediários confiáveis, as duas organizações (um banco turco e uma agência de transporte do governo turco) passaram a poder emitir certificados fraudulentos ou não autorizados para domínios que não controlavam. Nesse caso, um certificado curinga falso foi emitido para o site google.com sem a permissão da Google.
De acordo com a TURKTRUST, esse incidente ocorreu durante uma migração de software em agosto de 2011. Em um comunicado divulgado pela CA, os perfis dos certificados intermediários foram movidos para um servidor de produção. Isso fez com que os certificados intermediários da CA fossem emitidos sem que ela percebesse o ocorrido. A Google identificou o certificado falso em seu domínio em 24 de dezembro de 2012. Desde então, os certificados intermediários falsos foram relacionados na lista negra da Google, da Mozilla e da Microsoft. Além disso, o navegador Chrome deixou de exibir o status Extended Validation para qualquer certificado SSL emitido pela TURKTRUST.
Esses são apenas dois de uma série de ataques bem-sucedidos contra autoridades de certificação nos últimos dois anos, e a ameaça contra as CAs por parte de criminosos certamente não diminuirá. Ao contrário, os hackers têm elevado o nível continuamente, e as técnicas usadas para explorar redes tornam-se cada vez mais sofisticadas.
Como uma das principais autoridades de certificação do mundo, nós, da Symantec, assumimos a responsabilidade de proteger o trânsito de dados na Internet como uma obrigação para com os nossos clientes. É essencial que a maior prioridade comercial de uma autoridade de certificação enfoque:
1) O fortalecimento contínuo da infraestrutura que protege as chaves criptográficas; e
2) A proteção do processo de autenticação que valida a identidade.
A manutenção rigorosa e diligente da infraestrutura de segurança que cerca as autoridades de certificação deve ser vista como um ingrediente crucial para o sucesso dos clientes de uma CA e para a comunidade de consumidores da Web de forma geral.
Nem todas as autoridades de certificação são criadas da mesma forma
As empresas que estiverem escolhendo fornecedores de CA devem se lembrar de que essa escolha é muito importante. Nem todos os certificados SSL são emitidos da mesma forma, e as empresas precisam considerar o nível e o rigor da autenticação e da segurança integrados aos certificados SSL dos quais depende a confiança de sua marca e de seus clientes. As organizações devem garantir que a CA publique suas políticas e se submeta a auditorias de rotina para garantir uma infraestrutura segura. Infelizmente, não existe um padrão mínimo no mercado atual de certificados SSL. Embora o preço certamente tenha papel significativo no processo de compra, como as várias violações de CA nos lembraram esse ano (WHAT YEAR? 2012?), sugerimos que o preço seja apenas um de vários fatores na escolha de uma CA. Ao avaliar uma CA, é altamente recomendável que você considere:
- A diligência da segurança usada pela CA para proteger chaves criptografadas
- Instalações protegidas projetadas especificamente para defesa contra ataques
- Sistemas de assinatura de criptografia baseados em hardware
- Auditorias regulares executadas por terceiros
- Segurança de rede aprofundada e defesas contra malware
- A imposição da emissão de certificados com duplo controle usada pelo fornecedor
- O uso das melhores práticas de autenticação e registro para a identificação de propriedade
- A investigação documentada do histórico dos funcionários da CA para proteção contra ameaças internas
- A força da história de confiança e segurança do fornecedor
Para os consumidores, é importante saber que o SSL continua a ser o método mais eficaz de transmissão segura de dados na Web. É igualmente importante permanecer informado sobre quem está por trás da segurança do site com quem você faz negócios. Eles têm boa reputação? Apresentam um histórico comprovado de emissão de certificados? Têm uma infraestrutura robusta implantada para impedir esses tipos de ataques? Para ter proteção online ainda melhor, saiba o que procurar:
- Verifique se o software de navegador está atualizado a fim de obter o conjunto mais recente de chaves-raiz válidas.
- Procure a barra de endereço com fundo verde fornecida pelo Extended Validation (EV) SSL para proteção adicional.
- Procure uma marca de confiança reconhecida, como o Norton Secured Seal com a marca de seleção.
- Procure o ‘s’ de “https” na URL, que indica um ambiente seguro.
- Procure o cadeado para verificar quem assinou o certificado SSL e garantir que você reconhece a CA.
No fim das contas, é importante que a comunidade compreenda que não há nada intrinsecamente errado com o SSL. As CAs e as empresas precisam fazer o que é certo e garantir que as informações dos consumidores permaneçam seguras. CAs que seguem as melhores práticas estabelecidas para a proteção de chaves privadas, além da aplicação cuidadosa de práticas de autenticação rígidas, são componentes essenciais para manter a Internet um ambiente seguro para todos.
Quando se trata de segurança, continuidade de negócios e tranquilidade, lembre-se de que nem todas as CAs são criadas da mesma forma.