Gerenciamento de Certificados SSL/TLS: Uma Tarefa Simples
27 de maio de 2015Os Certificados SSL/TLS, embora não sejam os únicos no mercado, são os protocolos de segurança mais migrados, e também os mais compatíveis, levando-se em consideração o uso de versões mais antigas de aplicações, navegadores e sistemas operacionais.
Por Laila Robak
Sua presença na indústria data de décadas atrás, no entanto, suas características e seu uso têm evoluído e tornaram-se mais complexos nestes últimos anos.
Todo o risco existente hoje em dia, como interceptação de informação, ataques de phishing, malwares, tem tornado o uso dos certificados SSL/TLS essencial para organizações, não mais apenas para a proteção de dados trocados de maneira pública, mas também de dados trocados internamente.
Com a “Internet de Todas as Coisas”, especialmente, e informações sendo recebidas e enviadas desde máquinas, dispositivos, objetos, etc., existe uma grande necessidade de proteção dessas informações, e o uso dos certificados SSL/TLS provê a criptografia dessas informações trocadas, evitando a perda de dados e mantendo a privacidade e segurança dos mesmos.
Antes, as organizações possuíam uma única pessoa responsável pela segurança de TI, e a implementação do protocolo SSL/TLS era a mesma para todos os departamentos. No entanto, ambos mudaram: a complexidade da administração das organizações e a vulnerabilidade de certas características e algoritmos, como o SHA-1 e SGC, que podem levar à vulnerabilidades desnecessárias e ambientes menos seguros, mas que ainda estão disponíveis no mercado.
Um expert em segurança digital irá reconhecer os perigos no uso de tais algoritmos, mas devido à complexidade na estrutura organizacional das organizações e a falta de importância e investimento nesse setor, os mesmos continuam amplamente utilizados, pondo em risco os dados e a privacidade da organização.
O que eu quero dizer por “estrutura organizacional”?
Em vez de centralizar o gerenciamento e fontes de SSL/TLS, a maioria das organizações optam por adquirir certificados de diversos provedores, assim como possuir diferentes pessoas responsáveis pelos certificados de maneira pontual. Isso leva a organização, não somente a descentralizar a segurança digital, mas a gerar diversos riscos, entre os quais, os mais comuns são:
– Uso de algoritmos obsoletos, fracos e vulneráveis (como o SHA-1)
– Uso de tecnologias obsoletas (como o SGC)
– Expiração de certificados com interrupção de programas críticos
– Má configuração dos servidores
– Falta de conhecimento e responsabilidade por Certificados emitidos em nome da organização
Todos esses problemas criam vulnerabilidades na segurança da organização, levando a interrupções de serviços, perda/roubo de informação, e resultando em danos financeiros e de reputação.
As organizações deveriam ter maior preocupação em centralizar o gerenciamento, tendo conhecimento dos certificados que são emitidos para a mesma. Dessa maneira, pode-se assegurar que os certificados estejam de acordo com os padrões atualizados da indústria, evitando problemas.
Com o uso de ferramentas e portais de gerenciamento simples, muitas vezes sem custo, as organizações poderão garantir a segurança de seu ambiente, economizando e evitando a perda de capital e reputação gerados por brechas de segurança.
Director Latin America & Caribbean at GlobalSign