Acesso Clientes

Email

Password

Lembrar


Por favor, faça Login ou Registe-se

Contacto

  • Telefone:219 170 955
  • Horário:9:30 ás 13:00 e das 15:00 ás 17:30
  • Email Comercial:info@chrome.pt
  • Email Suporte:suporte@chrome.pt

Fechar Suporte

Suporte

Fraude na emissão de certificados SSL Comodo

  • 31
    Mar

Fraude na emissão de certificados SSL Comodo

Esta semana, Mozilla, Microsoft e Google actualizaram as blacklists dos seus navegadores para incluir uma lista de certificados SSL fraudulentos, emitidos para os seguintes URLs:

mail.google.com
www.google.com
login.live.com
addons.mozilla.org
login.skype.com
login.yahoo.com

Estes certificados SSL foram emitidos por uma Registration Authority (RA) afiliada da (e confiável pela) Comodo, que reivindica que o acesso ao RA foi comprometido e uma conta de utilizador foi violada. A Comodo afirma que a conta RA foi usada de forma fraudulenta para a emissão de 9 certificados SSL para os URL acima indicados. A empresa afirma da mesma forma que o ataque teve origem no Irão.

Embora estes certificados fraudulentos tenham sido revogadas, muitos utilizadores finais ainda se encontram expostos ao risco. Por quê? Porque a tecnologia que garante que certificados revogados não são validados por engano, está desligada ou totalmente ausente nos browsers de alguns utilizadores. Mesmo que a tecnologia (apelidada de OCSP, de “online certificate status protocol”) estivesse presente e activa, um simples momento de saída de uma consulta de revogação do navegador pode ter como causa que alguns browsers aceitem os certificados, como se tivessem sido verificado – quando não o foram. Como última linha de defesa neste cenário, os grandes fornecedores de browsers lançaram atualizações ás suas listas negras esta semana, identificando especificamente os certificados SSL fraudulentos pelos seus números de série.

A Symantec aconselha o seguinte:

1. Faça a actualização para a a versão mais recente do seu navegador de eleição
2. Ligue o OCSP nas configurações do seu navegador
3. Escolha SSL com Extended Validation (SSL que exibe a barra de endereços do navegador verde)

Actualize o seu navegador e ligue o OCSP

A Symantec recomenda a todos os utilizadores a actualização para a versão mais recente do seu navegador e que verifiquem se o OCSP está realmente activado nas configurações do seu navegador.

Por exemplo: os utilizadores do Firefox podem encontrar essa configuração em “Ferramentas -> Opções -> Avançado -> Criptografia – Validação>”. No Firefox, os utilizadores devem seleccionar ambas as opçõesar “Use o OCSP para confirmar a validade atual de certificados” e “Quando uma conexão com o servidor OCSP falhar, tratar o certificado como inválido”.

Se a versão mais recente do seu navegador não suporta OCSP, a Symantec sugere que mude para um navegador que o suporte.

O que é o OCSP?

OCSP é uma das duas tecnologias actualmente usadas pelos navegadores, que verifica, ao validar um certificado, se o mesmo não foi revogado. Historicamente, os navegadores fazem o download de listas de certificados revogados (CRL) para verificar a validade de um certificado. Uma vez que estas CRLs podem tornar-se enormes e afectar o desempenho e navegação, a indústria criou o OCSP, que executa uma função semelhante a um CRL, mas é muito mais eficiente. Com o OCSP, é executada uma simples consulta sobre o certificado específico, e não o download de uma lista potencialmente grande.

Cada Autoridade Certificadora (CA), como a VeriSign ou Comodo, é responsável por manter a sua própria lista de revogação e de processamento das solicitações de OCSP. A eficácia da OCSP depende da infra-estrutura confiável e robusta do CA, porque o crescimento do número de consultas OCSP cresce exponencialmente ao uso da Internet. Uma infra-estrutura fraca ou lenta de OCSP pode levar a consultas OCSP “timing out” devido a atrasos. Alguns navegadores poderão considerar erroneamente um “time out” como uma correcta verificação de revogação. A Symantec leva muito a sério esta exigência e tem investido numa infra-estrutura escalável para garantir verificações OCSP confiáveis. Recentemente, a VeriSign atingiu os 3 bilhões de consultas OCSP num único dia, representando uma média de mais de 34.700 validações on-line por segundo.

Pode confiar no SSL?

A proteção oferecida pela criptografia SSL é confiável e comprovada – enquanto a chave privada e as infra-estruturas de raiz não forem comprometidos.

No entanto, o SSL fornecido por uma autoridade de certificação independente, destina-se também a autenticar que o solicitante do certificado tem realmente o direito de possuir esse certificado. Mais especificamente, que esta pessoa detém directamente o direito ao domínio ou é realmente um membro autorizado da organização mencionada no referido certificado. É evidente que os certificados SSL colocados em blacklist esta semana, não foram emitidos para pessoas ou organizações cuja identidade e os direitos a esses domínios tinham sido devidamente autenticados.

A confiabilidade do certificado SSL depende da força da autenticação que tenha sido utilizada. Há uma série de métodos de autenticação de certificados SSL e a fiabilidade desses métodos é muito variável.

A Symantec mantém padrões elevados de autenticação para cada certificado SSL emitido sob a marca principal da VeriSign. A identidade da organização requerente deve ser verificado antes de poder receber um certificado VeriSign SSL.

O que é o EV SSL?

O certificado mais conffiável é o certificado SSL Extended Validation. A Symantec recomenda EV SSL para todos os clientes, pois é quase impossível um EV SSL ser emitida para um destinatário fraudulento, e não pode ser emitido de imediato, sem uma validação “hands-on” do CA.

O CA / Browser Forum (um consórcio de autoridades de certificação e fornecedores de browsers) criou o padrão EV SSL em 2007 como uma alternativa ao enfraquecimento das práticas de autenticação SSL utilizada por alguns CAs. A autenticação forte é fundamental para EV SSL – o solicitante deve passar por um conjunto padronizado de rigorosos procedimentos de validação de identidade, a fim de ser emitido um certificado EV SSL. Estes procedimentos incluem a autenticação da identidade de um Web site, a autenticação da organização identificada pelo site e, especificamente, a autenticação de que a pessoa que solicita o certificado tem realmente autoridade de gestão para esse site.

A VeriSign foi o primeiro CA a oferecer EV SSL e permanece líder do mercado certificados EV SSL de acordo com a Netcraft, no seu mais recente relatório SSL de Março de 2011.

Para encerrar

As revelações desta semana são um lembrete do quão importante é que as CAs mantenham uma forte autenticação e práticas de segurança, bem como a importância de um sistema de revogação escalável e flexível. A Symantecé lider da indústria em todos os aspectos da solução para os acontecimentos de hoje, incluindo a liderança de market share EV SSL, a melhor verificação de autenticação SSL da indústria e um OCSP que já provou ser capaz de lidar com 3.000 milhões de consultas por dia.

via blog.verisign.com

Leave a Reply