Últimas notícias

Fique informado
Certificado SSL: solução para o fim do HTTP, sem segurança

Certificado SSL: solução para o fim do HTTP, sem segurança

1 de maio de 2015

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Google favorece sites com tecnologia Responsiva e Certificados SSL

Seu site não é seguro? Veja o que está perdendo por isso.

20 de abril de 2015

Governo chinês emite certificado digital SSL falso para endereços do Google

Um certificado digital falso emitido por um intermediário autorizado pela

13 de abril de 2015

SSL: Tipos de certificados para proteger seu site

Vale a pena ler esse artigo para entender o que

24 de novembro de 2014

Comodohacker reivindica autoria de ataque à DigiNotar

O Comodohacker parece ter uma motivação política ao atacar a

8 de setembro de 2011

Sem dúvida, há atualmente o consenso geral de que o HTTPS /Certificado SSL é o único caminho a seguir para garantir a integridade, sigilo e a privacidade da internet.

Nos últimos meses, tem havido declarações do CAB/Forum, CAC,  IETF, IAB, W3C, e também do Governo dos Estados Unidos, convocando o uso universal de criptografia por aplicações de Internet, que no caso da web significa HTTPS. Isso é, o uso de certificados SSL para a criptografia dos servidores web.

Algumas empresas como Google, Microsoft, vem adotando inúmeras medidas para incentivar as empresas a adotarem os certificados SSL em seus sites.

Agora, até a comunidade Mozilla está se organizando e levantando recursos para caminhar em direção a internet mais segura.  O objetivo é o desenvolvimento de recursos que remova alguns privilégios de sites não seguros.

Existem duas grandes questões que estão sendo discutidas pela indústria que reúne, principalmente, Autoridades Certificadoras e empresas de browser.

A primeira  questão é a definição de uma data limite para que alguns recursos estejam disponíveis apenas para sites seguros.

O que parece é que haverá um plano gradual para a desaceleração dos sites não seguros, especialmente para aqueles que oferecem riscos para a segurança e a privacidade dos usuários.

A comunidade terá que, além de chegar a acordo sobre o cronograma de desaceleração, definir sobre os critérios que qualificarão os sites que oferecem maiores riscos.

A segunda questão está relacionada aos recursos que serão adotados para garantir segurança e compatibilidade web. 

O bloqueio total aos sites não seguros provavelmente fará com que muitos negócios online sejam inviabilizados e saiam do ar. Pensando nisso a comunidade está planejando, a princípio, bloquear uma série recursos. Por exemplo: o Firefox já impede o uso de câmera e microfone a partir de um site não seguro. Houve também algumas propostas para limitar o âmbito de cookies não seguros.

Adiciono a questão da criptografia a necessidade dos sites apresentarem credenciais atestadas por terceiros.

Sempre uso a analogia de que o pipoqueiro na esquina não pode comercializar seus saquinhos de pipocas sem que exiba uma identificação dada pela prefeitura e sites de comércio eletrônico vendem livremente sem utilizarem certificados SSL e concorrem de igual para igual com organizações que primam pelas boas práticas de segurança online.

Ainda sobre esse movimento, posso dizer que já não era sem tempo, mas me preocupo se os líderes da indústria entenderão que o certificado SSL de Validação de Domínio estarão ou não entre os sites que apresentam segurança.

Já que vão mexer no vespeiro, deveriam acabar com todas as vespas de uma só vez. Defendo  que o certificado SSL  de Validação do Domínio é um desserviço ao propósito de uma internet segura e confiável.

Em meados de 20111, falava-se no fim do SSL em função principalmente do movimento “Comodohacker” onde muitos e muitos certificados SSL foram emitidos de forma fraudulenta, inclusive, para serem usados em ciberataques.

Na época escrevi muitos artigos sobre minha crença nos certificados SSL e da mesma forma sobre a necessidade de se boicotar as ACs que emitiam certificados SSL sem critério de validação, pois isso é o que estava enfraquecendo o uso do SSL. Nada a ver com a tecnologia. As maiores ações são provenientes ou de falha na validação de propriedade do domínio ou na desatualização de sistemas e infraestruturas de segurança. Por isso, creio no fim do SSL emitido apenas com validação de domínio.

Depois desses ataques em grande escala utilizando certificados fraudulentos a industria se reuniu no CAB/Fórum e foi criado os critérios para a emissão dos Certificados SSL de Validação Estendida.

Os certificados SSl tem duas funções básicas. A criptografia dos dados e a identificação de propriedade de domínio, só validação de domínio é meio certificado e induz ao erro e estimula as fraudes.