Governo chinês emite certificado digital SSL falso para endereços do Google
13 de abril de 2015Um certificado digital falso emitido por um intermediário autorizado pela China Internet Network Information Center (CNNIC), uma agência do governo chinês, está dividindo os responsáveis por navegadores web. A Mozilla e o Google eliminaram o CNNIC de suas listas de “entidades confiáveis”, enquanto a Apple e a Microsoft decidiram manter a confiança nos certificados assinados pela organização.
Certificados são atestados a sites como forma de comprovar para os usuários que eles são seguros. Sites certificados exibem desenhos de pequenos cadeados na barra de endereço do navegador.
Navegadores web são configurados de fábrica com uma lista de “empresas confiáveis” para emitir certificados digitais. Essas empresas atuam como cartórios digitais e não podem emitir certificados sem verificar a identidade do comprador. Para assinar um certificado para o endereço “google.com”, por exemplo, a empresa precisa confirmar que a solicitação é de alguém responsável por esse endereço.
Os critérios para estar nessa lista dependem de cada navegador, mas mesmo assim não há muita diferença entre os softwares. Os certificados assinados são válidos mundialmente, o que significa que uma autoridade chinesa pode emitir certificados – legítimos ou não – também para sites brasileiros, por exemplo.
Com a CNNIC fora da lista do Google e da Mozilla, visitar um site que usa um certificado da CNNIC fará com que um alerta de segurança seja exibido no Chrome e no Firefox. No Internet Explorer e no Safari, onde a CNNIC ainda é confiável, nenhuma janela de aviso irá aparecer.
A CNNIC foi “punida” pela Mozilla e pelo Google por permitir que uma empresa intermediária, a MCS Holdings, emitisse certificados livremente. A MCS Holdings emitiu um certificado falso para domínios do Google, o que permitiria a um hacker criar um site clonado do Google, com endereço do Google, e que ainda exibiria o “cadeado” de segurança identificando o site como legítimo.
A CNNIC considerou a decisão do Google e da Mozilla “inaceitável e ininteligível”. De acordo com a CNNIC, a MCS não cumpriu o acordo que tinha com a entidade de manter os certificados em um dispositivo de segurança em hardware (HSM).
A Microsoft invalidou apenas o certificado da MCS Holdings e não o da CNNIC, confiando na explicação dada pelo órgão chinês.
Em 2012, a empresa de segurança Trustwave, que também emite certificados, foi acusada de prática similar. A empresa se defendeu afirmando que as chaves emitidas pela intermediária não poderiam ser usadas fora da rede local, porque as chaves ficavam armazenadas em um HSM. Nenhum navegador retirou a Trustwave da lista de empresas confiáveis.
Fonte: http://g1.globo.com