Projeto do Google para driblar falsos certificados SSL

Para melhor proteger os acessos web contra a distribuição de certificados falsos, uma extensão do cabeçalho HTTP que contém uma impressão digital de seus certificados está sendo projetada e testada. Esta abordagem, que foi parcialmente testada no Chrome, foi apresentada por Ian Fette, gerente sênior de produtos do Google, em uma reunião da Internet Engineering Task Force (IETF), em Taipei.

Fette disse que, após o hackeamento da DigiNotar, outras empresas pediram ao Google uma forma de proteger-se contra os certificados falsos. Como existem inúmeras CAs, a possibilidade de emissão de certificados ilegítimo ainda permanece, explicou o desenvolvedor. No entanto, Fette disse que a incorporação desta nova política poderia resolver isso.

A solução do cabeçalho HTTP que eles descreveram em um rascunho, envolve um hash do campo SubjectPublicKeyInfo (SPKI) de um certificado X.509 que seriam enviados para os usuários como um “PIN de cabeçalho”. Fette disse que hashes incluiriam os certificados que são válidos para a página atual, assim como os CAs raiz para a página. Durante o período de validade estipulado, os pedidos deveriam ser examinados para ver se existe pelo menos um PIN correto e um PIN de back-up estaria disponível.