A importância da boa administração dos certificados SSL/TLS para se evitar interrupção de serviços e impedir ataques hackers
28 de novembro de 2019Em tempo de transformação digital e LGPD, não administrar certificados SSL/TLS com ferramentas adequadas é uma irresponsabilidade!
Conversamos com Daniel Nascimento Diretor da AR Prime sobre ferramentas de gestão de certificados TLS/SSL e os benefícios desse gerenciamento inteligente
Há cinco anos atrás, nesta mesma época – segunda quinzena de novembro – a Sony Pictures Entertainment foi atingida com o ataque cibernético mais audacioso até aquele momento contra uma mega empresa americana. Esse ataque atraiu a atenção do público mundialmente, agrediu a Primeira Emenda da legislação americana e levou o presidente Barack Obama a ameaçar com retaliação, pela primeira vez, um adversário do ciberespaço, no caso a Coréia do Norte.
A violação da Sony atingiu o mundo da segurança cibernética, assim como, o ataque a varejista americana Target que resultou em mais de US$ 250 milhões em multas, pelos danos a clientes, operadoras e emissores de cartão de crédito.
Esses dois ataques desencadearam uma era de respostas cada vez mais fortes aos principais hackers e fez com que a indústria da segurança da informação ganhasse voz em suas antigas recomendações quanto a administração de protocolos de segurança que visam blindar os servidores web onde são hospedados dados sensíveis das empresas, usuários e dos clientes.
O acesso indevido aos servidores onde são armazenados os dados sensíveis das empresas ocorre quando: o servidor não é protegido com protocolo de segurança – criptografia -, o servidor é protegido com criptografia, mas a chave foi compartilhada indevidamente ou obtida por meio de engenharia social e, a última opção, onde o certificado digital que protegia o servidor expirou o prazo de validade e seus administradores não fizeram a renovação da chave.
Neste caso, os certificados digitais a que nos referimos, são os protocolos de segurança TLS – Transport Layer Security e Secure Sockets Layer – SSL.
Já foram registrados, aqui no Crypto ID, inúmeros casos em que os certificados digitais expirados propiciaram ataques hackers emblemáticos como o da empresa americana Target.
Os alvos de ataques hackers são empresas privadas que gravitam nos mais diversos setores, no entanto, os alvos preferidos continuam sendo as empresas com atividades de varejo, financeiro, seguros, saúde e até as organizações governamentais.
Dependendo do caso, as empresas só tomaram ciência da expiração dos certificados TLS/SSL por terem sido alvo de ataques hackers e que por isso, foram extorquidas ou seus dados comercializados na Deep Web sem ao menos os hackers terem tentado uma negociação de resgate como ocorrem casos de Ransomware.
As empresas normalmente tem regras de negócios bem estruturadas quanto a expiração desses protocolos de segurança, porém, numa mínima falha, pode haver a abertura dessa porta de entradas aos hackers ou a interrupção dos serviços.
Mesmo antes dessa leva de super ataques, as empresas fornecedoras dos protocolos de segurança desenvolveram ferramentas para o gerenciamento dos certificados digitais para que os administradores não sejam surpreendidos, mas parece que só agora o mercado vem dando atenção a isso.
Daniel Nascimento
“Administrar os certificados digitais que protegem os servidores web nas organizações sempre foi tarefa crítica para as empresas uma vez que, a indisponibilidade dos servidores webs pode causar problemas gravíssimos para as empresas que operam serviços eletrônicos. Os problemas são muitos e os mais comuns são: a possibilidade da interrupção de serviços aos clientes e a abertura de brechas que propiciam ataques hackers”, diz Daniel Nascimento, diretor da Autoridade de Registro Prime, Partner Platinum da Globalsign – empresa global de soluções de segurança da informação e uma das principais Autoridades Certificadoras internacionais emissoras dos protocolos de segurança TLS/SSL.
Segundo Daniel Nascimento, uma plataforma de gerenciamento de certificados SSL/TLS baseada em nuvem traz muitos benefícios para as empresas e diretamente aos administradores dos certificados porque proporciona a eles o total controle dos certificados da organização e independência para a emissão e revogação dos certificados a qualquer hora.
Perguntamos ao Daniel Nascimento sobre o aquecimento das vendas no mercado de SSL, no Brasil.
“Sim, é verdade. Estamos sentindo que o mercado de SSL está se aquecendo no Brasil e esse aquecimento fará com que as empresas tenham necessidade de capacitar melhor suas equipes e adquirir ferramentas que ajude na administração dos certificados porque os certificados podem expirar, e fazer o controle em planilhas deixa as empresas em situação de risco”, diz Daniel.
Segundo o executivo, a administração inteligente dos certificados digitais além de não pegar os administradores dos certificados de surpresa, também agrega outros benefícios como a redução de custos de administração associada ao gerenciamento dos múltiplos certificados digitais da empresa.
Sobre a administração dos certificados digitais, Daniel Nascimento explica que “a emissão instantânea dos certificados digitais via uma plataforma, que chamamos de MSSL – Management SSL, atende perfeitamente a rotina diária dos administradores com a gestão simplificada dos certificados e resolve a questão no caso de emergências”, explica Daniel.
“Eventualmente, os certificados SSLs podem expirar durante os finais de semana, feriados ou até nos horários mais improváveis, como durante a madrugada, e isso acaba pegando as pessoas de surpresa e gerando dor de cabeça aos administradores dos certificados e a muitos outros profissionais da empresa. Fazer a troca de certificados SSL/TLS na maioria das vezes requer janelas de manutenção para acesso aos ambientes em que são armazenados os certificados, envolve autorização de acesso aos servidores, e em alguns casos aos HSMs – hardwares security module, em que são armazenadas as chaves criptográficas.
A plataforma de gestão de certificados baseada em nuvem que comercializamos oferece características e funcionalidades diferenciadas, permitindo que os administradores tenham total controle de seus certificados. Os certificados emitidos pelos diferentes setores da mesma empresa são centralizados em uma única conta e com apenas um comando, os administradores revogam, renovam, reemitem ou cancelam os certificados. Cada administrador tem seu próprio login. As permissões e direitos de acesso dos administradores dos SSL são delegadas e pré-definidas pelos administradores master da conta. Outra funcionalidade da plataforma MSSL é que ela permite a integração robusta de API para automatizar o ciclo de vida dos certificados em seu atual fluxo de trabalho, assim como, permite a integração com o Active Directory para automatizar o provisionamento em ambientes Windows”, argumenta Daniel Nascimento.
“A TOTVS, empresa originalmente brasileira – líder absoluta no mercado SMB do Brasil, cria soluções inovadoras para transformar o dia a dia das empresas e ajudá-las a superar os desafios de seus negócios. É a maior empresa de desenvolvimento de software de gestão do país, com investimento de R$ 1.6 bilhão em pesquisa e desenvolvimento nos últimos 5 anos para atender as exigências de 12 setores da economia. É uma das empresas que compram certificados SSL com a AR Prime e utilizam a ferramenta de gestão MSSL. Tem se mostrado satisfeita como nossa solução porque registrou uma redução significativa de custos em sua operação na administração dos servidores seguros, além de ganho de velocidade nas emissões de seus certificados digitais TLS e outros tipos de certificados.
Atualmente, não se justifica mais que os gestores sejam surpreendidos com a expiração dos certificados digitais. Temos avançado muito na venda dessas plataformas de administração que podem ser contratadas por licença para o período mínimo de um ano. E, a partir de cinco certificados, a contratação dessa plataforma de gerenciamento já é justificável” finaliza Daniel Nascimento.
Tudo indica, que com a aplicação da GDPR – General Data Protection Regulation que é a lei europeia de proteção de dados, as empresas no mundo passaram a utilizar mais os certificados SSL/TLS.
Com a proximidade da LGPD – Lei Geral de Proteção de Dados, que é a lei de proteção e privacidade de dados brasileira, com vigência prevista, a partir de 14 de agosto de 2020, a expectativa é que o mercado brasileiro siga essa tendência o que refletirá no aumento do número de certificados SSL adquiridos pelas empresas. Seja para as páginas web de um modo geral – site, blogues, hotsite, landing pages, ou seja para servidores em que são hospedados dados sensíveis, para APIs, assinaturas de códigos e tantas outras formas de aplicações dos protocolos SSL/TLS. Com isso as empresas terão que se organizar melhor para a administrarem esses certificados com mais eficiência.
Transformação digital: a hora é agora
Acesse a coluna do Crypto ID sobre SSL/TLS!!
Common Encryption Types, Protocols and Algorithms Explained
Uma em cada cinco transações de dados via aplicativos pode não ser segura – Ouça
Black Friday: aumente as vendas na sua loja virtual investindo em segurança
Online Identity Is Important: Let’s Upgrade Extended Validation. By Patrick Nohe
