Últimas notícias

Fique informado
Transparência e reputação no SSL e seus vícios de design

Transparência e reputação no SSL e seus vícios de design

20 de abril de 2015

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Governo chinês emite certificado digital SSL falso para endereços do Google

Um certificado digital falso emitido por um intermediário autorizado pela

13 de abril de 2015

O que é LCR e OCSP

 LCR – Lista de Certificados Revogados Quando um certificado digital

9 de setembro de 2010
Por Sérgio Leal
A notícia é emblemática e trás a tona os dois maiores problemas no mundo do SSL | TLS.
Sergio Leal - Colunista CryptoID

Sergio Leal – Colunista CryptoID

O Governo Chinês emite certificado falso para domínios do Google, que por sua vez arranca suas raízes do Chrome. Lambança feita!

De uma lado uma AC pode emitir certificados para qualquer domínio sem que o dono saiba imediatamente que isso ocorreu e possa tomar alguma ação de defesa. Do outro, as empresas que controlam os navegadores / sistemas operacionais, podem determinar autoritariamente em quais AC devemos confiar..

Podemos lembrar das discussões sobre a raiz da ICP-Brasil, que usa um modelo de caixa-preta sem auditoria de mercado. A Microsoft incluiu a raiz no Windows pois seria bom para seus negócios no Brasil, já a Fundação Mozilla se recusou por não aceitar esse modelo de AC caixa preta. Quem está certo?

Os vícios de design

Esse são os problemas:

As AC podem emitir certificados errados e fraudulentos em nome de qualquer um sem controle externo imediato. Por outro lado, quando a Microsoft, o Google, a Mozilla decidem em quem você deve ou não acreditar cegamente. Bem vindo à realidade dos certificados SSL.


Transparência e Reputação de Certificados SSL

Agora, duas propostas parecem ganhar tração na tentativa de amenizar algumas consequências dessas escolhas de design. A Transparência de certificados é bancada pelo Google e tem uma arquitetura aberta, e a Reputação de certificados pela Microsoft com uma arquitetura fechada. Tentam resolver o mesmo problema através de mecanismos distintos, mas funcionalmente similares.

Transparência de Certificados SSL

A certificação digital sempre utilizou um modelo de lista negra (LCR e OCSP), mas a ideia agora é criar uma lista branca. Sem entrar nos detalhes do mecanismo, as AC publicam os certificados emitidos nessa lista branca, onde o mercado tem uma visão completa de tudo que elas fazem.

Ferramentas chamadas monitores e auditores distribuídos pela Internet são os responsáveis pelo acompanhamento das emissões permitindo que os titulares identifiquem rapidamente os certificados emitidos sem sua autorização.

Reputação de Certificados SSL

Nesse modelo, os navegadores da Microsoft,IE 11 e seus sucessores, publicam em um log fechado as informações sobre todos os certificados que encontram. A Microsoft faz uma série de checks de segurança e avisa ao usuário se aquele certificado deve ser considerado confiável ou não.

Nesse modelo, a Microsoft trabalha com um log fechado, e informa apenas ao dono do domínio encontrado no certificado quando alguma atividade suspeita for detectada.

Qual dos 2 é melhor?

Cada um deles incorpora os vícios e virtudes de ser aberto ou fechado.

No caso da Transparência, você terá problemas para manter sigilo sobre seus nomes de domínio internos caso compre um certificado com essa “funcionalidade”. No caso da Reputação você estará preso às decisões da Microsoft, e como o suporte limitado à familia IE.

O grande valor dessa iniciativa é perceber que o problema passa a ser enfrentado depois de décadas sem receber atenção. Como sempre o mercado decidirá o vencedor, mas contar com diversas opções de mecanismos para melhorar o SSL/TLS pode nos deixar mais tranquilos que num mundo monopolizado.

Sérgio Leal 
  • Ativista de longa data no meio da criptografia e certificação digital.
  • Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
  • Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
  • Bacharel em Ciências da Computação pea UERJ desde 1997.
  • Certificações:
    – Project Management Professional (desde 2007)
    – TOGAF 9.1 Certified
    – Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)
  • Colunista e membro do conselho editorial do Instituto CryptoID.