Certificado SSL: solução para o fim do HTTP, sem segurança
1 de maio de 2015Sem dúvida, há atualmente o consenso geral de que o HTTPS /Certificado SSL é o único caminho a seguir para garantir a integridade, sigilo e a privacidade da internet.
Nos últimos meses, tem havido declarações do CAB/Forum, CAC, IETF, IAB, W3C, e também do Governo dos Estados Unidos, convocando o uso universal de criptografia por aplicações de Internet, que no caso da web significa HTTPS. Isso é, o uso de certificados SSL para a criptografia dos servidores web.
Algumas empresas como Google, Microsoft, vem adotando inúmeras medidas para incentivar as empresas a adotarem os certificados SSL em seus sites.
Agora, até a comunidade Mozilla está se organizando e levantando recursos para caminhar em direção a internet mais segura. O objetivo é o desenvolvimento de recursos que remova alguns privilégios de sites não seguros.
Existem duas grandes questões que estão sendo discutidas pela indústria que reúne, principalmente, Autoridades Certificadoras e empresas de browser.
A primeira questão é a definição de uma data limite para que alguns recursos estejam disponíveis apenas para sites seguros.
O que parece é que haverá um plano gradual para a desaceleração dos sites não seguros, especialmente para aqueles que oferecem riscos para a segurança e a privacidade dos usuários.
A comunidade terá que, além de chegar a acordo sobre o cronograma de desaceleração, definir sobre os critérios que qualificarão os sites que oferecem maiores riscos.
A segunda questão está relacionada aos recursos que serão adotados para garantir segurança e compatibilidade web.
O bloqueio total aos sites não seguros provavelmente fará com que muitos negócios online sejam inviabilizados e saiam do ar. Pensando nisso a comunidade está planejando, a princípio, bloquear uma série recursos. Por exemplo: o Firefox já impede o uso de câmera e microfone a partir de um site não seguro. Houve também algumas propostas para limitar o âmbito de cookies não seguros.
Adiciono a questão da criptografia a necessidade dos sites apresentarem credenciais atestadas por terceiros.
Sempre uso a analogia de que o pipoqueiro na esquina não pode comercializar seus saquinhos de pipocas sem que exiba uma identificação dada pela prefeitura e sites de comércio eletrônico vendem livremente sem utilizarem certificados SSL e concorrem de igual para igual com organizações que primam pelas boas práticas de segurança online.
Ainda sobre esse movimento, posso dizer que já não era sem tempo, mas me preocupo se os líderes da indústria entenderão que o certificado SSL de Validação de Domínio estarão ou não entre os sites que apresentam segurança.
Já que vão mexer no vespeiro, deveriam acabar com todas as vespas de uma só vez. Defendo que o certificado SSL de Validação do Domínio é um desserviço ao propósito de uma internet segura e confiável.
Em meados de 20111, falava-se no fim do SSL em função principalmente do movimento “Comodohacker” onde muitos e muitos certificados SSL foram emitidos de forma fraudulenta, inclusive, para serem usados em ciberataques.
Na época escrevi muitos artigos sobre minha crença nos certificados SSL e da mesma forma sobre a necessidade de se boicotar as ACs que emitiam certificados SSL sem critério de validação, pois isso é o que estava enfraquecendo o uso do SSL. Nada a ver com a tecnologia. As maiores ações são provenientes ou de falha na validação de propriedade do domínio ou na desatualização de sistemas e infraestruturas de segurança. Por isso, creio no fim do SSL emitido apenas com validação de domínio.
Depois desses ataques em grande escala utilizando certificados fraudulentos a industria se reuniu no CAB/Fórum e foi criado os critérios para a emissão dos Certificados SSL de Validação Estendida.
Os certificados SSl tem duas funções básicas. A criptografia dos dados e a identificação de propriedade de domínio, só validação de domínio é meio certificado e induz ao erro e estimula as fraudes.