Últimas notícias

Fique informado
Symantec achou um exagero o anúncio feito pelo Google sobre seus certificados SSL EV

Symantec achou um exagero o anúncio feito pelo Google sobre seus certificados SSL EV

27 de março de 2017

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

GTS – Google lança sua própria AC para emissão de SSL/TLS

Em um esforço para expandir seus recursos de Autoridade Certificadora

28 de janeiro de 2017

O Google anunciou na semana passada seus planos de punir a Symantec por desconfiar das validações feitas para emissão dos seus certificados SSL de Validação Estendida (EV) nos últimos anos.

O status Extended Validation (EV) de todos os certificados emitidos pelas autoridades de certificação de propriedade da Symantec, segundo a nota do Google, deixariam de ser reconhecidos pelo navegador Chrome por pelo menos um ano até que a Symantec corrigisse seus processos de emissão de certificados para que possa ser confiável novamente.

Certificados de validação estendida fornecem o mais alto nível de confiança e autenticação, onde antes de emitir um certificado, autoridade de certificação deve verificar a entidade jurídica requerente existência e identidade.

Uma das partes importantes do ecossistema SSL é a confiança, mas se as autoridades certificadoras não verificarem corretamente a existência legal e a identidade antes de emitir certificados EV para domínios, a credibilidade desses certificados será comprometida.

Para tranquilizar seus clientes no mundo todo a Symantec respondeu em seu blog que o Google em seu anúncio usou alegações não verídicas e considerou um exagero por parte da empresa de busca.

“Somos fortemente contra a ação que o Google tomou sobre os certificados SSL / TLS da Symantec no navegador Chrome. Essa ação foi inesperada e acreditamos que a postagem no blog foi irresponsável. Embora todas as principais Autoridades Certificadoras tenham tido eventos de emissão de certificados SSL / TLS, o Google destacou a Symantec em seu comunicado e o evento de emissões  incorretas envolveu várias outras ACs”, diz a nota do blog da Symantec.

Segundo a Symantec ainda, foram identificados que apenas 127 certificados foram emitidos de forma errada – e não 30.000 e não houve nenhum prejuízo para o consumidor porque medidas necessárias foram imediatamente tomadas. Foi identificado o parceiro envolvido como uma Autoridade de Registro (AR), e em uma tentativa de reforçar a confiança da Symantec na emissão dos certificados  SSL / TLS, a Cia anunciou a descontinuação do seu programa de Autoridade de Registro.

Eder Souza | Co-fundador da e-Safer e colunista do Crypto ID

Segundo Eder Souza,  cofundador e diretor da tecnologia da e-Safer que é um dos parceiros de negócios da Symantec no Brasil para a emissão de certificados SSL.

“Ficamos estarrecidos sobre a notícia veiculada na última semana e preocupados com os resultados que ela pode trazer ao mercado de certificados SSL. Acompanhamos o episódio com a proximidade que foi permitida, pois tudo ainda é tratado com muito sigilo por parte dos envolvidos e isso em decorrência da severidade que a proposta do Google pode trazer aos milhões de usuários que atualmente são clientes da Symantec.

Em um primeiro momento recordamos de outros acontecimentos desta natureza, como o ocorrido com a Comodo em 2011, quando aproximadamente uma dezena de certificados digitais SSL foram indevidamente emitidos para domínios importantes, como Microsoft, Google e outros ou a grande invasão de hackers à Diginotar, uma Autoridade Certificadora que atendia ao governo holandês e resultou na paralisia de diversos órgãos públicos.

No caso da Symantec, segundo o Google, aproximadamente 30.000 certificados SSL EV foram emitidos de forma inadequada e com isso o Google está propondo sanções como, deixar de reconhecer os certificados EV no Chrome, reduzir a validades dos certificados para 9 meses e até a revalidação e emissão dos certificados anteriormente emitidos.

Para nós essas propostas trarão um impacto muito grande aos nossos clientes e principalmente para a imagem da empresa, que herdou esse mercado na aquisição da Verisign, uma empresa que esteve presente desde o início e ajudou a levar o mercado e a tecnologia ao estágio atualmente visto por todos.

Segundo a Symantec, a redução na validade dos certificados já é um tema atualmente discutido com os membros do CA/Browser Fórum e que o número de 30.000 certificados SSL emitidos inadequadamente não está correto, sendo somente 127 certificados digitais foram emitidos inadequadamente e assim ainda existem muitos pontos a serem esclarecidos.

Nós, que conhecemos esse mercado e a Symantec, confirmamos a seriedade com que os processos de emissão são conduzidos e temos certeza de que tudo será esclarecido e os impactos para os clientes será o mais brando possível para um fato como esse.”

Leia: GTS – Google lança sua própria AC para emissão de SSL/TLS