DATA DA PUBLICAÇÃO 01/08/2017 | Informática
Google sugere que Symantec deixe de ser certificadora autônoma
Google Chrome SSLO Google sugeriu que a Symantec deixe de ser a única responsável pela emissão de seus próprios certificados digitais, de modo que uma outra empresa chancele os certificados dos clientes de uma das maiores empresas desse mercado. A proposta do Google é resultado de uma investigação nas práticas da Symantec, que indicou a existência de 30 mil certificados emitidos indevidamente.
Os certificados digitais em questão são os utilizados por sites na internet para exibir o "cadeado de segurança". Esses certificados digitais precisam ter o aval (assinatura digital) de uma Autoridade Certificadora (AC) confiada pelo navegador de internet. A Symantec é dona de várias empresas do ramo, como Thawte, RapidSSL e GeoTrust.
O Google, por ser desenvolvedor do navegador Chrome e do Android, pode decidir quais são os certificados confiados pelo navegador e pelo sistema mais usado em smartphones. Se a Symantec deixar de ser confiada por usuários do Chrome e do Android, os certificados dela perdem valor de mercado, já que qualquer empresa ou organização que tenha que atender usuários desses programas terão que buscar outra autoridade certificadora.
Porém, como a decisão de remover uma autoridade certificadora pode gerar erros e incompatibilidade, o Google publicou uma proposta com prazos para que a Symantec e os clientes da empresa possam se adequar. Pela proposta, a Symantec pode continuar vendendo certificados com sua marca, desde que eles sejam chancelados por outra certificadora. A Symantec perderia sua autonomia.
Em um comunicado, a Symantec informou que já está em contato com outras certificadoras para verificar a capacidade delas de atender à demanda da empresa. No caso de certificados do tipo EV ("validação estendida"), a Symantec afirma ter a maior demanda do mercado, o que significa que talvez nenhuma empresa possa absorver sozinha toda a demanda.
Com o plano, os certificados da Symantec passariam a ser chancelados por outra empresa a partir de dezembro deste ano. Os antigos certificados da Symantec, emitidos por ela própria, serão considerados não confiáveis gradualmente a partir de abril de 2018, por meio de atualizações do navegador Chrome.
Em seus últimos comunicados, a Symantec parece estar aceitando melhor a realidade imposta pelo Google - que está em uma posição muito mais forte. A Symantec chegou a classificar a atitude do Google como "irresponsável" e baseada em alegações "exageradas" e "enganosas".
Google quebra 'acordão'
Você provavelmente já foi orientado a verificar a presença do "cadeado de segurança" ou do "HTTPS" no endereço do navegador antes de digitar dados pessoais, como sua senha bancária ou o número do cartão de crédito. Embora o conselho seja correto e necessário, ele esconde uma realidade "sombria" do mercado e da tecnologia por trás dessa segurança.
A tecnologia em si tem uma limitação problemática: qualquer empresa autorizada a chancelar esses certificados é tecnicamente capaz de emitir certificados para qualquer site. Ou seja, ainda que a loja on-line "A" seja cliente de uma certificadora "X", a tecnologia não impede que a certificadora "Y" crie outro certificado para "A" e entregue esse certificado a um criminoso que pretende clonar a loja "A".
Apesar da gravidade dos erros, consertar os problemas é extremamente difícil. Se a certificadora "Y" for bloqueada por conta dos seus erros, todos os clientes daquela certificadora também serão punidos, pois terão seus sites marcados como inseguros. Esse fato tem deixado as certificadoras em uma posição confortável, já que desenvolvedores de navegadores e sistemas ficam receosos de remover a confiança em certificadoras e causar problemas para quem não tem culpa.
Por esse motivo, falhas menores ou sem grande impacto direto tem sido ignoradas pelos desenvolvedores de navegadores. A Verisign, por exemplo, certa vez emitiu um certificado para uma "empresa" chamada "CLICK YES TO CONTINUE" ("clique em sim para continuar"). A Verisign não recebeu nenhuma punição. A herdeira do negócio de certificação da Verisign é a própria Symantec, que fez a aquisição em 2010.
O que chama atenção neste caso é que o Google parece quase solitário em sua cruzada para investigar e tomar atitudes para restaurar a confiança na tecnologia de certificação digital na web. Microsoft e Apple permanecem em silêncio. A Mozilla, ao menos, está colaborando.
De qualquer forma, o Google parece estar quebrando o antigo "acordão" de "deixar as coisas como estão" desde que elas estejam "mais ou menos boas".
A Symantec já é a segunda certificadora a entrar na mira do Google. A chinesa WoSign, e com ela a israelense StartCom, que foi comprada pela WoSign, também perderam a confiança do Chrome. No entanto, o caso da Symantec é muito mais relevante por causa da dimensão da certificadora e o número de marcas envolvidas.
Os certificados digitais em questão são os utilizados por sites na internet para exibir o "cadeado de segurança". Esses certificados digitais precisam ter o aval (assinatura digital) de uma Autoridade Certificadora (AC) confiada pelo navegador de internet. A Symantec é dona de várias empresas do ramo, como Thawte, RapidSSL e GeoTrust.
O Google, por ser desenvolvedor do navegador Chrome e do Android, pode decidir quais são os certificados confiados pelo navegador e pelo sistema mais usado em smartphones. Se a Symantec deixar de ser confiada por usuários do Chrome e do Android, os certificados dela perdem valor de mercado, já que qualquer empresa ou organização que tenha que atender usuários desses programas terão que buscar outra autoridade certificadora.
Porém, como a decisão de remover uma autoridade certificadora pode gerar erros e incompatibilidade, o Google publicou uma proposta com prazos para que a Symantec e os clientes da empresa possam se adequar. Pela proposta, a Symantec pode continuar vendendo certificados com sua marca, desde que eles sejam chancelados por outra certificadora. A Symantec perderia sua autonomia.
Em um comunicado, a Symantec informou que já está em contato com outras certificadoras para verificar a capacidade delas de atender à demanda da empresa. No caso de certificados do tipo EV ("validação estendida"), a Symantec afirma ter a maior demanda do mercado, o que significa que talvez nenhuma empresa possa absorver sozinha toda a demanda.
Com o plano, os certificados da Symantec passariam a ser chancelados por outra empresa a partir de dezembro deste ano. Os antigos certificados da Symantec, emitidos por ela própria, serão considerados não confiáveis gradualmente a partir de abril de 2018, por meio de atualizações do navegador Chrome.
Em seus últimos comunicados, a Symantec parece estar aceitando melhor a realidade imposta pelo Google - que está em uma posição muito mais forte. A Symantec chegou a classificar a atitude do Google como "irresponsável" e baseada em alegações "exageradas" e "enganosas".
Google quebra 'acordão'
Você provavelmente já foi orientado a verificar a presença do "cadeado de segurança" ou do "HTTPS" no endereço do navegador antes de digitar dados pessoais, como sua senha bancária ou o número do cartão de crédito. Embora o conselho seja correto e necessário, ele esconde uma realidade "sombria" do mercado e da tecnologia por trás dessa segurança.
A tecnologia em si tem uma limitação problemática: qualquer empresa autorizada a chancelar esses certificados é tecnicamente capaz de emitir certificados para qualquer site. Ou seja, ainda que a loja on-line "A" seja cliente de uma certificadora "X", a tecnologia não impede que a certificadora "Y" crie outro certificado para "A" e entregue esse certificado a um criminoso que pretende clonar a loja "A".
Apesar da gravidade dos erros, consertar os problemas é extremamente difícil. Se a certificadora "Y" for bloqueada por conta dos seus erros, todos os clientes daquela certificadora também serão punidos, pois terão seus sites marcados como inseguros. Esse fato tem deixado as certificadoras em uma posição confortável, já que desenvolvedores de navegadores e sistemas ficam receosos de remover a confiança em certificadoras e causar problemas para quem não tem culpa.
Por esse motivo, falhas menores ou sem grande impacto direto tem sido ignoradas pelos desenvolvedores de navegadores. A Verisign, por exemplo, certa vez emitiu um certificado para uma "empresa" chamada "CLICK YES TO CONTINUE" ("clique em sim para continuar"). A Verisign não recebeu nenhuma punição. A herdeira do negócio de certificação da Verisign é a própria Symantec, que fez a aquisição em 2010.
O que chama atenção neste caso é que o Google parece quase solitário em sua cruzada para investigar e tomar atitudes para restaurar a confiança na tecnologia de certificação digital na web. Microsoft e Apple permanecem em silêncio. A Mozilla, ao menos, está colaborando.
De qualquer forma, o Google parece estar quebrando o antigo "acordão" de "deixar as coisas como estão" desde que elas estejam "mais ou menos boas".
A Symantec já é a segunda certificadora a entrar na mira do Google. A chinesa WoSign, e com ela a israelense StartCom, que foi comprada pela WoSign, também perderam a confiança do Chrome. No entanto, o caso da Symantec é muito mais relevante por causa da dimensão da certificadora e o número de marcas envolvidas.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda