Transparência e reputação no SSL e seus vícios de design
20 de abril de 2015Por Sérgio Leal
A notícia é emblemática e trás a tona os dois maiores problemas no mundo do SSL | TLS.
O Governo Chinês emite certificado falso para domínios do Google, que por sua vez arranca suas raízes do Chrome. Lambança feita!
De uma lado uma AC pode emitir certificados para qualquer domínio sem que o dono saiba imediatamente que isso ocorreu e possa tomar alguma ação de defesa. Do outro, as empresas que controlam os navegadores / sistemas operacionais, podem determinar autoritariamente em quais AC devemos confiar..
Podemos lembrar das discussões sobre a raiz da ICP-Brasil, que usa um modelo de caixa-preta sem auditoria de mercado. A Microsoft incluiu a raiz no Windows pois seria bom para seus negócios no Brasil, já a Fundação Mozilla se recusou por não aceitar esse modelo de AC caixa preta. Quem está certo?
Os vícios de design
Esse são os problemas:
As AC podem emitir certificados errados e fraudulentos em nome de qualquer um sem controle externo imediato. Por outro lado, quando a Microsoft, o Google, a Mozilla decidem em quem você deve ou não acreditar cegamente. Bem vindo à realidade dos certificados SSL.
Transparência e Reputação de Certificados SSL
Agora, duas propostas parecem ganhar tração na tentativa de amenizar algumas consequências dessas escolhas de design. A Transparência de certificados é bancada pelo Google e tem uma arquitetura aberta, e a Reputação de certificados pela Microsoft com uma arquitetura fechada. Tentam resolver o mesmo problema através de mecanismos distintos, mas funcionalmente similares.
Transparência de Certificados SSL
A certificação digital sempre utilizou um modelo de lista negra (LCR e OCSP), mas a ideia agora é criar uma lista branca. Sem entrar nos detalhes do mecanismo, as AC publicam os certificados emitidos nessa lista branca, onde o mercado tem uma visão completa de tudo que elas fazem.
Ferramentas chamadas monitores e auditores distribuídos pela Internet são os responsáveis pelo acompanhamento das emissões permitindo que os titulares identifiquem rapidamente os certificados emitidos sem sua autorização.
Reputação de Certificados SSL
Nesse modelo, os navegadores da Microsoft,IE 11 e seus sucessores, publicam em um log fechado as informações sobre todos os certificados que encontram. A Microsoft faz uma série de checks de segurança e avisa ao usuário se aquele certificado deve ser considerado confiável ou não.
Nesse modelo, a Microsoft trabalha com um log fechado, e informa apenas ao dono do domínio encontrado no certificado quando alguma atividade suspeita for detectada.
Qual dos 2 é melhor?
Cada um deles incorpora os vícios e virtudes de ser aberto ou fechado.
No caso da Transparência, você terá problemas para manter sigilo sobre seus nomes de domínio internos caso compre um certificado com essa “funcionalidade”. No caso da Reputação você estará preso às decisões da Microsoft, e como o suporte limitado à familia IE.
O grande valor dessa iniciativa é perceber que o problema passa a ser enfrentado depois de décadas sem receber atenção. Como sempre o mercado decidirá o vencedor, mas contar com diversas opções de mecanismos para melhorar o SSL/TLS pode nos deixar mais tranquilos que num mundo monopolizado.
Sérgio Leal
- Ativista de longa data no meio da criptografia e certificação digital.
- Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
- Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
- Bacharel em Ciências da Computação pea UERJ desde 1997.
- Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)- Colunista e membro do conselho editorial do Instituto CryptoID.