O Google descobriu, essa semana, que uma autoridade de certificação intermediária conhecida como MCS Holdings emitiu certificados não autorizados para vários de seus domínios, mesmo sem ter autonomia para tal, burlando mais uma vez a função da SSL.
Quebrar a SSL é a principal razão pela qual a empresa não permite que autoridades intermediárias emitam certificados, já que dessa maneira a segurança é deixada de lado e todo o sistema de funcionamento fica comprometido.
O próprio Google indica como o sistema deve funcionar da seguinte maneira: Seu PC contata um servidor Google, que retorna um certificado. O computador usa esse certificado para criptografar uma sessão de dados, a partir daí o servidor confirma que a chave é boa e estabelece a sessão segura com o seu Computador.
Quando os certificados são assinados por terceiros, ele dá a permissão ao falso servidor para executar um ataque.
Em um ataque chamado de “man-in-the-middle” uma autoridade de certificação falsa pode fingir ser a autoridade de emissão genuína, especialmente se a empresa intermediária de certificado é dada como autoridade plena, e isso não deveriam acontecer.
Fixação do sistema SSL
O problema com o sistema SSL – além dos erros usuais – é que ele se baseia no princípio de que Autoridades de Certificação sempre emitirão bons certificados. A história, porém, é outra completamente diferente, já que diversas Autoridades de Certificação múltiplas foram invadidas, incluindo empresas como a VeriSign e a extinta DigiNotar.
O Google pretende reformular o processo de emissão de certificados com a sua iniciativa Certificado Transparência.
De acordo com a empresa essa iniciativa tornaria quase impossível uma Autoridade Certificadora emitir um certificado SSL para um domínio sem que o mesmo estivesse visível para o proprietário.
O novo projeto também forneceria um sistema de auditoria e acompanhamento aberto, permitindo que todo proprietário de domínio ou AC determinem se os certificados foram emitidos por engano ou maliciosamente.
Até que a iniciativa entre em ação, porém, é possível que muitas outras falhas sejam encontradas no sistema, por isso é sempre muito importante informar-se e conhecer as práticas de segurança básicas na internet.
