A transparência de certificado é um processo que permite a validação quando ao uso do domínio de uma empresa ou marca em correlação acesso ao um site com certificado de SSL
Por Adriano Frare
Atualmente os principais navegadores geralmente podem detectar sites mal-intencionados que são provisionados com certificados SSL forjados ou falsos.
No entanto, os mecanismos criptográficos atuais não são tão bons em detectar sites mal-intencionados se forem provisionados com certificados emitidos por engano ou certificados emitidos por uma autoridade certificadora (AC) comprometida ou desonesta.
Um dos grandes problemas em validar certificados emitidos incorretamente e posteriormente revogados e a problema da validação das listas de certificados revogados (LCR), o qual já foi mencionado em outros artigos.
Nesses casos, os navegadores não veem nada de errado com os certificados, porque a AC parece estar em boas condições, dando aos usuários a impressão de que o site que estão visitando é autêntico e de que a conexão é segura.
Um dos problemas é que atualmente não existe uma maneira fácil ou eficaz de auditar ou monitorar certificados SSL em tempo real; portanto, quando esses erros ocorrem (maliciosos ou não), os certificados suspeitos geralmente não são detectados e revogados por semanas ou meses. Além disso, esses tipos de erros de SSL estão ocorrendo com crescente frequência.
Nos últimos anos, houve inúmeros casos de certificados incorretos/falsos sendo usados para falsificar sites legítimos e, em alguns casos, instalar software malicioso ou espionar usuários inocentes.
Em um caso, uma importante AC holandesa (DigiNotar) foi comprometida e os hackers conseguiram usar o sistema da AC para emitir certificados SSL falsos. Os certificados foram usados para representar vários sites no Irã, como o Gmail e o Facebook, que permitiam aos operadores dos sites falsos espionar usuários inocentes do site.
Em outro caso, uma autoridade de certificação subordinada da Malásia (DigiCert Sdn. Bhd.) Emitiu por engano 22 certificados SSL fracos, que poderiam ser usados para personificar sites e assinar software malicioso. Como resultado, os principais navegadores tiveram que revogar sua confiança em todos os certificados emitidos pelo DigiCert Sdn. Bhd.
(Nota: DigiCert Sdn. Bhd. Não é afiliado à empresa norte-americana DigiCert, Inc.)
Mais recentemente, uma grande AC (TrustWave) sediada nos EUA admitiu que emitiu certificados raiz subordinados a um de seus clientes para que ele pudesse monitorar o tráfego em sua rede interna. Os certificados raiz subordinados podem ser usados para criar certificados SSL para praticamente qualquer domínio na Internet.
Embora a Trustwave tenha revogado o certificado e declarado que não emitirá mais certificados raiz subordinados aos clientes, ilustra como é fácil para as CAs cometer erros e quão severas as consequências desses erros podem ser.
Em muitos casos, certificados emitidos por engano foram usados por hackers para ataques maliciosos que têm consequências terríveis, mas as consequências após a mitigação também podem ser muito abrangentes e prejudiciais. Eventualmente, os certificados da AC holandesa foram revogados e a AC foi encerrada.
A revogação e o fechamento causaram um efeito cascata em toda a Holanda, pois as pessoas tiveram acesso negado a sites governamentais e privados que foram provisionados com os certificados SSL da AC.
Transparência do certificado para o resgate
A Transparência de Certificados tem como objetivo remediar essas ameaças baseadas em certificados, tornando a emissão e a existência de certificados SSL abertas ao escrutínio de proprietários de domínio, autoridades de certificação e usuários do domínio. Especificamente, a transparência do certificado tem três objetivos principais:
• Tornar impossível (ou pelo menos muito difícil) para uma AC emitir um certificado SSL para um domínio sem que o certificado seja visível para o proprietário desse domínio.
• Forneça um sistema aberto de auditoria e monitoramento que permita a qualquer AC ou proprietário de domínio determinar se os certificados foram emitidos por engano ou maliciosamente.
• Proteja os usuários (na medida do possível) de serem enganados por certificados emitidos por engano ou maliciosamente.
A transparência do certificado atende a esses objetivos, criando uma estrutura aberta para monitorar o sistema de certificados TLS / SSL e auditar certificados TLS / SSL específicos. Essa estrutura aberta consiste em três componentes principais, descritos a seguir.
Logs de certificado
Os logs de certificado são serviços de rede simples que mantêm registros de certificados com criptografia garantida, auditáveis publicamente e somente anexados. Qualquer pessoa pode enviar certificados para um log, embora as autoridades de certificação provavelmente sejam os principais remetentes.
Da mesma forma, qualquer pessoa pode consultar um log em busca de uma prova criptográfica, que pode ser usada para verificar se o log está se comportando corretamente ou para verificar se um certificado específico foi registrado. O número de servidores de log não precisa ser grande (digamos, muito menos que mil em todo o mundo), e cada um pode ser operado de forma independente por uma AC, um ISP ou qualquer outra parte interessada.
Monitores
Os monitores são servidores públicos que entram em contato periodicamente com todos os servidores de log e observam certificados suspeitos. Por exemplo, os monitores podem saber se um certificado ilegítimo ou não autorizado foi emitido para um domínio e podem procurar certificados com extensões de certificado incomuns ou permissões estranhas, como certificados com recursos de autoridade de certificação.
Um monitor funciona da mesma maneira que um alerta de relatório de crédito, que informa sempre que alguém solicita um empréstimo ou cartão de crédito em seu nome. Alguns monitores serão administrados por empresas e organizações, como Google, banco ou governo.
Outros serão executados como serviços de assinatura nos quais os proprietários de domínio e autoridades de certificação podem comprar. Indivíduos com experiência em tecnologia podem executar seus próprios monitores.
Auditores
Os auditores são componentes de software leves que normalmente executam duas funções. Primeiro, eles podem verificar se os logs estão se comportando corretamente e são criptograficamente consistentes. Se um log não estiver se comportando corretamente, ele precisará se explicar ou correr o risco de ser encerrado.
Segundo eles podem verificar se um certificado específico aparece em um log. Essa é uma função de auditoria particularmente importante porque a estrutura de Transparência de certificados exige que todos os certificados SSL sejam registrados em um log. Se um certificado não foi registrado em um log, é um sinal de que o certificado é suspeito e os clientes TLS podem se recusar a se conectar a sites que possuem certificados suspeitos.
Um auditor pode ser um componente integrante do cliente TLS de um navegador, um serviço independente ou uma função secundária de um monitor. Qualquer pessoa pode criar um auditor, embora seja provável que as CAs executem a maior parte de todos os auditores, porque são uma maneira eficiente de obter informações sobre a integridade operacional de todas as CAs.
No total, esses componentes criam uma estrutura aberta que permite a qualquer pessoa observar e verificar certificados SSL recém-emitidos e existentes quase em tempo real.
Menos erros, navegação mais segura
Quando implementada, a Transparência do certificado ajuda a proteger contra vários tipos de ameaças baseadas em certificado, incluindo certificados incorretos, certificados adquiridos com códigos maliciosos e CAs não autorizadas.
Essas ameaças podem aumentar os passivos financeiros para os proprietários de domínio, manchar a reputação de autoridades de certificação legítimas e expor os usuários da Internet a uma ampla gama de ataques, como falsificação de sites, representação de servidores e ataques intermediários.
A estrutura de transparência do certificado visa reduzir essas ameaças baseadas em certificado, trazendo escrutínio público e abertura ao sistema de certificação SSL. Por meio de sua estrutura aberta de monitores e auditores executados publicamente, a Transparência do certificado oferece vários benefícios ausentes ou ausentes no atual sistema de certificação SSL:
• Detecção antecipada de certificados incorretos, certificados maliciosos e CAs não autorizadas.
Na maioria dos casos, o sistema de Transparência de certificados pode detectar certificados ou CAs suspeitos em algumas horas, em vez de alguns dias, algumas semanas ou meses.
• Atenuação mais rápida após a detecção de certificados ou CAs suspeitos.
Embora a Transparência do certificado dependa dos mecanismos de mitigação existentes para lidar com certificados e autoridades de certificação prejudiciais – por exemplo, revogação de certificado -, o tempo de detecção reduzido acelerará o processo geral de mitigação quando certificados ou autoridades de certificação prejudiciais forem descobertos.
• Melhor supervisão de todo o sistema TLS / SSL.
A transparência do certificado baseia-se em uma estrutura aberta que suporta a observação e verificação pública de certificados TLS / SSL recém-emitidos e existentes, que oferecem a qualquer parte interessada a oportunidade de observar e verificar a integridade e a integridade do sistema TLS / SSL – proprietários de domínio, CAs e usuários.
Como uma solução focada, a Transparência do Certificado fortalece as cadeias de confiança que se estendem das CAs até os servidores individuais, tornando as conexões HTTPS mais confiáveis e menos vulneráveis à interceptação ou representação.
Além disso, como medida geral de segurança, a Transparência de certificados ajuda a proteger contra ataques mais amplos à segurança da Internet, tornando a navegação mais segura para todos os usuários.
Apple não aceitará certificados HTTPS de longa duração
10 ferramentas online para testar SSL, TLS e vulnerabilidades
Certificados de atributo: Se temos tecnologia disponível, porque permanecer na idade média?
