e-Guardian - Symantec

Google considera reduzir confiança em certificados da Symantec

e-Guardian - Symantec

O Google anunciou nesta quinta-feira (23/03/2017) uma "proposta" para invalidar ao menos parcialmente os certificados digitais da Symantec, uma das maiores fornecedoras do ramo. O Google alega que a Symantec descumpriu suas obrigações de manter seu processo de emissão de certificados confiável e que não foi transparente com a comunidade sobre as falhas no serviço.

Os certificados digitais são responsáveis pelo "cadeado de segurança" que aparece em sites na internet e que é obrigatório para fornecer segurança para transações bancárias ou financeiras na web. Com a decisão, páginas que usarem certificados da Symantec podem perder o reconhecido ícone de segurança ou até serem marcadas como potencialmente inseguras para usuários do navegador Chrome.

A Symantec publicou um comunicado nesta sexta-feira (24) classificando a atitude do Google como "inesperada" e "irresponsável". A empresa alega que as afirmações do Google são "exageradas" e "enganosas", que os 30 mil certificados apontados pelo Google são na verdade apenas 127, e que nenhum desses certificados causou qualquer prejuízo aos internautas. No comunicado, a empresa também elencou as diversas medidas que a companhia defende para aumentar a segurança.

Estatísticas da Netcraft sugerem que a Symantec e suas subsidiárias sejam responsáveis por quase um terço de todos os certificados digitais em uso na web. A Symantec é dona de marcas como Thawte, RapidSSL, GeoTrust e VeriSign.

Brechas nas autoridades certificadoras (ACs) confiadas pelos navegadores web são graves porque elas comprometem todo o sistema de segurança, não apenas dos sites que usam a certificadora com o problema. Se um criminoso consegue emitir um certificado falso para um determinado site, o criminoso pode usá-lo para clonar o site em questão, mesmo que o site use certificado de outra emissora.

A Symantec já estava na mira do Google pelo menos desde 2015, quando o Google exigiu mais transparência e uma auditoria nos processos de emissão de certificados da Symantec. Agora, o Google diz ter encontrado indícios de que 30 mil certificados foram emitidos indevidamente pela infraestrutura da Symantec.

Perder a confiança total do Google Chrome seria um golpe duro para a Symantec. Embora a Apple, a Microsoft e a Mozilla não tenham anunciado intenções semelhantes, a perda do Chrome afetaria não só os usuários do Chrome no computador, mas também em celulares e tablets. Sites teriam de mudar para outras empresas para evitar que seus usuários vejam alertas no navegador, ou arriscar ter problemas permanecendo como clientes da Symantec.

O Google, porém, pretende evitar que internautas e donos de sites sofram com as medidas. Mesmo que a empresa prossiga com sua intenção de diminuir a confiança nos certificados da Symantec, a mudança deverá ser gradual. Os primeiros afetados devem ser os certificados de validação estendida (EV), que são os mais caros e de mais alta confiança do mercado. A Symantec também deverá ficar impedida de emitir certificados de prazo longo.

Fonte: http://g1.globo.com/tecnologia/blog/seguranca-digital/

About the author: Roberto Chu

Leave a Reply

Your email address will not be published.