Últimas notícias

Fique informado
Google descobre nova falha de segurança SSL
Destaques International News

Google descobre nova falha de segurança SSL

24 de março de 2015

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo do estado de São Paulo divulga nota sobre edital referente à Câmeras Corporais Portáteis (COPs)

Esclarecimento sobre o edital para novas câmeras corporais para a

25 de maio de 2024

Universo TOTVS 2024 reúne grandes nomes da tecnologia para debater ética no uso de IA e dados, engenharia de software e habilidades para potencializar a carreira em TI

O Universo TOTVS 2024 debaterá pautas de tecnologia e oferecerá aulas teóricas e práticas para desenvolvedores

24 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Google discovers new security holes in SSL

Is the entire system fundamentally flawed ? Por  Joel Hruska

24 de março de 2015

O Google descobriu, essa semana, que uma autoridade de certificação intermediária conhecida como MCS Holdings emitiu certificados não autorizados para vários de seus domínios, mesmo sem ter autonomia para tal, burlando mais uma vez a função da SSL.

Quebrar a SSL é a principal razão pela qual a empresa não permite que autoridades intermediárias emitam certificados, já que dessa maneira a segurança é deixada de lado e todo o sistema de funcionamento fica comprometido.

O próprio Google indica como o sistema deve funcionar da seguinte maneira: Seu PC contata um servidor Google, que retorna um certificado. O computador usa esse certificado para criptografar uma sessão de dados, a partir daí o servidor confirma que a chave é boa e estabelece a sessão segura com o seu Computador.

Quando os certificados são assinados por terceiros, ele dá a permissão ao falso servidor para executar um ataque.

Em um ataque chamado de “man-in-the-middle” uma autoridade de certificação falsa pode fingir ser a autoridade de emissão genuína, especialmente se a empresa intermediária de certificado é dada como autoridade plena, e isso não deveriam acontecer.

Fixação do sistema SSL

O problema com o sistema SSL – além dos erros usuais – é que ele se baseia no princípio de que Autoridades de Certificação sempre emitirão bons certificados. A história, porém, é outra completamente diferente, já que diversas Autoridades de Certificação múltiplas foram invadidas, incluindo empresas como a VeriSign e a extinta DigiNotar.

O Google pretende reformular o processo de emissão de certificados com a sua iniciativa Certificado Transparência.

De acordo com a empresa essa iniciativa tornaria quase impossível uma Autoridade Certificadora emitir um certificado SSL para um domínio sem que o mesmo estivesse visível para o proprietário.

O novo projeto também forneceria um sistema de auditoria e acompanhamento aberto, permitindo que todo proprietário de domínio ou AC determinem se os certificados foram emitidos por engano ou maliciosamente.

Até que a iniciativa entre em ação, porém, é possível que muitas outras falhas sejam encontradas no sistema, por isso é sempre muito importante informar-se e conhecer as práticas de segurança básicas na internet.

CATEGORIAS

Destaques International News

TAGS

Google segurança da informação SSL