A partir de janeiro de 2016 milhares de sites se apresentarão aos visitantes como sites inseguros porque a Microsoft removerá de seu programa de confiança 20 Autoridades Certificadoras que operam em todo o mundo.
As notícias que circulam pela mídia hoje falam de grande impacto e de milhares de sites, mas não vemos grande impacto no Brasil porque são Autoridades Certificadoras que emitem relativamente poucos certificados SSL | TLS comparadas com o total de certificados emitidos no mundo e além disso, são Autoridades Certificadoras com pouca presença no Brasil.
As Autoridades Certificadoras que serão removidas do programa “Trusted Root” da Microsoft, pertencem tanto de organizações privadas quanto públicas, incluindo três ACs da Serasa Experian.
Segundo a Serasa Experian informou ao CryptoID a empresa deixou o programa da Microsoft voluntariamente em janeiro de 2015.
A Serasa há alguns anos disponibiliza no mercado brasileiro os certificados digitais SSL | TLS da Raiz Internacional da Autoridade Certificadora GlobalSign, então os que emitiram certificados SSL | TLS Serasa fiquem tranquilos. A Globalsign é uma das maiores e mais conceituadas ACs para emissão de certificados SSL | TLS em todo o mundo e no Brasil é a segunda maior emissora desse tipo de Certificado Digital e não está nesta relação.
Com a remoção do programa da Microsoft, todos os certificados SSL emitidos pelas 20 Autoridades Certificadoras serão removidos da lista de certificado de segurança no Windows que são usadas por navegadores como Google Chrome, Internet Explorer e Microsoft Edge, assim como clientes de e-mail e outras aplicações que suportam comunicações seguras via SSL | TLS.
“A Microsoft removerá as 20 Autoridades Certificadoras por dois motivos: ou porque elas resolveram sair voluntariamente do programa “Trusted Root” ou porque não cumpriram requisitos técnicos e a auditoria mais rigorosa que foram publicadas em junho dentro do Trusted Root Certificate”, disse Aaron Kornblum, gerente do programa de governança, de gerenciamento de risco e conformidade na Microsoft, no blog da companhia.
Dessa forma, as 20 Autoridades Certificadoras não terão mais como válidos os selos de confiança que atestam conformidade aplicados nos sites clientes a partir de janeiro de 2016.
A exclusão de uma Autoridade Certificadora do Microsoft Trusted Root Certificate Program não se aplica apenas a certificados SSL| TLS, mas também a certificados assinatura de códigos – Codesign, que são usados para validar programas de software que foram lançados por desenvolvedores legítimos. A remoção também afetará os certificados digitais pessoais utilizados em e-mails, por exemplo.
A Microsft recomenda aos proprietários de certificados digitais que revejam a lista e procurem saber se algum deles irá impactar ou não seus próprios serviços e que os substituam por outros fornecedores. De qualquer forma, eles podem querer contatar suas atuais ACs primeiro e perguntar se eles contam com planos para consertar o problema.
Muitas empresas não possuem um sistema de gerenciamentos dos certificados SSl | TLS utilizados dentro da organização e poderão ser surpreendidas. Infelizmente, as empresas não centralizam a compra dos certificados SSL como deveriam e por isso não tem controle dos inúmeros certificados SSL utilizados.
O uso dos Certificados SSL não estão mais restritos às áreas de web sites ou TI como antigamente. Muitas aplicações internas e externas utilizam a criptografia de dados e a área da Segurança da Informação muitas vezes fica “vendida” porque a aquisição é feita de forma independente e desorganizada por profissionais que não conhecem a diferença entre os certificados SSL e também entre as autoridades certificadoras.
Fica a dica. Pense e recomende política de aquisição, manutenção e controle dos certificados SSL | TLS. Numa emergência sua empresa ficará vulnerável.
Gerenciamento de Certificados SSL/TLS: Uma Tarefa Simples
As 20 Autoridades Certificadoras removidas pela Microsoft
Com informações do site itwire.com
