Resolvi compartilhar com os senhores minha visão do outro lado do balcão onde convivi com muitos enganos no momento da compra de certificados digitais SSL/TLS.
Coisas que acontecem no andar de baixo e os Cios sequer desconfiam de tantos enganos. Meu intuito não é desmerecer seus profissionais, muito pelo contrário, mas apontar que esses profissionais precisam de mais atenção, apoio e conhecimento sobre o tema que a empresa deve lhes prover.
Cios, retomem para si a seleção dos certificados SSL/TLS e a escolha do fornecedor que apoiará sua equipe desde o entendimento do que sua empresa precisa, passando pela instalação dos certificados e principalmente, atenção se esse fornecedor saberá lhe apoiar em caso de incidentes.
Incidentes internos ou fruto do surgimento de novas vulnerabilidades que são entendidas por hackers e rapidamente divulgadas na rede. Quando isso acontece, você deve ter a seu lado um fornecedor que entenda o que está acontecendo, tenha agilidade e disponibilidade para lhe orientar e em quem você confie que não se aproveitará da situação para fazer você gastar mais do que precisa.
Sua atenção é necessária porque de um lado sua equipe não tem conhecimento e do outro, muitos novos fornecedores de certificados digitais SSL entraram no mercado sem ter preparo técnico para prestar o serviço de suporte.
Se acreditou por um longo tempo que comprar certificados digitais SSL era como comprar commodities. Mas devido aos recentes incidentes, o mercado está entendendo que comprar certificados digitais é contratar serviço e conhecimento técnico.
CIOS, RETOMEM PARA SI A SELEÇÃO DOS CERTIFICADOS SSL E A ESCOLHA DO FORNECEDOR OU PREPAREM SUAS EQUIPES PARA QUE NÃO ADQUIRAM CERTIFICADOS INADEQUADOS
E quando o comprador oficial de SSL/ TLS é a área de compras?
Quando a empresa delega a seleção do fornecedor a área de compra, ai sim o problema é mais sério. Por que? Os técnicos não são certeiros no que precisam comprar e os compradores compram os certificados mais baratos ou os mais caros, sem se importar muito com o entorno do que estão comprando.
Compram os SSLs como compram mouses ou vassouras. Não temos condições de explicar a diferença do que querem adquirir e o que realmente precisam.
Compram e depois precisam cancelar a compra, revogar os certificados, refazer contratos, retificar nota fiscal etc etc etc. Pensam que isso acontece só de vez em quando? Não, isso acontece rotineiramente. São as maiores vendas, uma vez que as empresas menores não têm essa área de compras tão mecanizada e emburrecida. E isso acontece com tíquetes acima dos 100 mil reais.
São exigidas alterações nas cláusulas dos contratos, mas nunca sequer ouviram falar em DPC. E é o que de fato vale no caso de um sinistro. O contrato é mera formalização entre o pedido e o pagamento. Leia o que é DPC neste artigo – CERTIFICAÇÃO DIGITAL – CRYPTO ID: O que é DPC …
Regina Tupinambá
Quando comecei a trabalhar com SSL em 1999, meu target eram os CIOs.
Eles decidiam e compravam pessoalmente os certificados. Com o tempo passamos a ter como interlocutores profissionais menos sêniores e com o passar dos tempos menos seniores ainda.
.
Só que as ofertas de SSL evoluíram além dos certificados 40 ou 128 bits, validação Full ou apenas validação de domínios. (TIPOS DE CERTIFICADOS SSL PARA PROTEGER SEU SITE).
Voltando ao que falava, surgiram outras opções como os certificados sub domínios, e o polêmico e temido wildcard, enfim, foi descoberto pelo mercado comprador.
Essa moçada não acompanha todas essas novidades, não há bibliografia disponível com facilidade. Por exemplo, nem as novas regras de domínios e subdomínios ditadas pelo ICANN são divulgadas adequadamente e isso acaba gerando um problema sério no momento de comprar os certificados para esses servidores internos.
Não conseguem distinguir a variedade de ofertas dos tipos de certificados digitais SSL/TLS, muito menos entende sua personalizada arquitetura de segurança da informação. Chegam a comprar certificados Evs para servidores internos. Não estou falando de meia dúzia não, estou falando de muitos certificados no mesmo pedido.
Algumas regras foram sugeridas e/ou impostas ao mercado por organizações com a CA/Browser Fórum 
(https://cabforum.org) e daí nasceram os certificados digitais EV.
Incrível, mas muitos técnicos não entendem que os certificados EVs são tecnicamente iguais aos outros certificados, o que muda é existe um ou dois passos a mais na validação (por isso o nome validação estendida!!!) e um campo especial para os navegadores reconhecerem e sinalizarem o verde ou vermelho para os visitantes dos sites. Esses certificados são muito mais caros mesmo, não por que sejam superiores tecnicamente, mas por que a validação é um dos componentes de custo mais significativos na composição do preço do certificado digital.
Quando falamos de soluções em nuvem, a coisa complica mais um pouco, por que desenham a estrutura e só depois pensam como vão aplicar os SSLs. Parece brincadeira? Mas não é. Muitas empresas enfrentam esse problema na prática.
Mantenho no Linkedin um grupo com o nome CERTIFICAÇÃO DIGITAL, um grupo pequeno com 1.200 participantes do
Evento SSL’s Day
mercado que trabalha com essa tecnologia e em e agosto, num dos calorosos debates sobre SSL, lancei um desafio ao Eder Souza da e-Safer ele topou na hora e a Symantec nos apoiou.
O objetivo foi a realização a realização de um evento sobre SSL e teve o nome de SSL’s Day. Como escolher a melhor solução para sua empresa e os pontos críticos que devem ser observados antes de adquirirem os certificados.
O evento foi um sucesso. Confira aqui.
Pretendemos fazer outros eventos e treinamentos, assim vamos levar ao mercado informações valiosas para que possam decidir pelas melhores soluções e para se prepararem para as vulnerabilidades eventuais.
Quer ficar informado sobre cursos eventos? Se inscreva no Portal CryptoID e fique ligado em tudo que gira em torno dos certificados SSL!
