Autor: Lucas Constantin

Gigante das buscas diz que a empresa não adotou as práticas de segurança esperadas, tais como validação de controle de domínio e auditoria de logs. Symantec nega.

O Google poderá aplicar uma punição severa à Symantec ou a seus revendedores devido aos constantes incidentes decorrentes da emissão inapropriada de certificados SSL (Secure Socket Layer), padrão global em tecnologia de segurança. O Google quer que a empresa substitua todos certificados seus clientes e pare de reconhecer o status de validação estendida (EV) daqueles que a têm. O EV é um certificado usado para sites HTTPS e software que comprova a entidade legal que controla o site ou pacote de software.

De acordo com uma pesquisa Netcraft, de 2015, a Symantec é responsável por um em cada três certificados SSL usados na web, o que a torna a maior emissora do certificado comercial no mundo. Como resultado das aquisições que realizou ao longo dos anos, a empresa agora controla vários certificados raiz de autoridades de certificação como a VeriSign, GeoTrust, Thawte e RapidSSL.

Os certificados SSL/TLS são usados para criptografar conexões entre navegadores e sites habilitados para HTTPS e também para verificar que os usuários realmente estão visitando os sites que pretendem e versões não foi falsificado. Esses certificados são emitidos por organizações conhecidas como autoridades de certificação confiáveis por padrão em navegadores e sistemas operacionais.

O processo de emissão e gerenciamento de certificados é regido por regras criadas pelo CA/Browser Fórum, organização que reúne fornecedores de navegadores de internet e autoridades de certificação. Quando as regras forem violadas, fornecedores de browsers e de sistemas operacionais podem cancelar a confiança nos certificados e responsabilizar as autoridades certificadoras, podendo chegar ao ponto de retirar os seus armazenamentos de certificado raiz.

O Google diz que a investigação sobre um incidente recente indica que a Symantec não adotou as práticas de segurança esperadas de uma autoridade certificadora, tais como validação de controle de domínio, auditoria de logs para provas de emissão não autorizada e minimizar a capacidade para a emissão de certificados fraudulentos.

Se o Google mantiver sua decisão, milhões de certificados da Symantec vão se tornar não confiáveis ao longo dos próximos 12 meses no Google Chrome. Isso será um processo gradual, em que cada nova versão do Chrome irá suspeitar de um novo lote de certificados começando com o Chrome 59, que irá retirar a confiança nos certificados que têm um período de validade de 33 meses.

Isso colocará enorme pressão na Symantec, já que a empresa terá que entrar em contato com todos os clientes, validar sua identidade e a posse de seus domínios tudo de novo, além de substituir seus certificados existentes por novos, provavelmente sem nenhum custo.

Algumas empresas provavelmente terão problemas substituindo seus certificados em tão pouco tempo, que podem ser utilizados em terminais de pagamento e outros dispositivos embarcados difícil de acessar.

Além disso, a Symantec pode ter que reembolsar os clientes que pagaram por certificados EV que não serão mais reconhecidos como tal no Chrome. A proibição de certificados EV Symantec vai durar pelo menos um ano.

Todos os certificados de substituição emitidos pela Symantec para clientes precisarão ter um período de validade de nove meses ou menos para que confiem no Chrome. Isso é suscetível de causar mais problemas para algumas grandes empresas, que não serão capazes de substituir facilmente seus certificados a cada nove meses.

É seguro dizer que as sanções do Google podem ter um impacto significativo no negócio SSL da Symantec, que poderá perder os clientes que não estiverem dispostos a enfrentar essas restrições.

Fornecedores de navegadores de internet já puniram anteriormente autoridades certificadoras que fizeram a emissão indevida de certificados —ou “misissuing”, no jargão da indústria —, mas nunca numa escala e com um impacto tão grande sobre o “ecossistema”.

A razão para esta punição sem precedentes parece estar nos repetidos incidentes com certificados ocorridos com a Symantec nos últimos anos, alguns dos quais a empresa não conseguiu identificar, apesar de ter realizado auditorias internas e externas. O caso mais recente foi descoberto este ano e envolveu 127 certificados emitidos com informações falsas ou sem verificação de titularidade de domínio pela Symantec ou por uma parceira da empresa que funcionava como uma autoridade de registro (RA).

Segundo o Google, essa investigação envolve a validade de pelo menos 30 mil certificados emitidos pela Symantec e parceiros durante vários anos. No entanto, a Symantec contesta esse número. A empresa também critica a ação do Google, classificando-a como inesperada e dizendo que o post do blog foi irresponsável.

Procurada pelo Computerworld Brasil, a companhia enviou uma nota de esclarecimento, que publicamos na íntegra, abaixo.

NOTA DE ESCLARECIMENTO

“Na Symantec, temos o orgulho de ser uma das principais autoridades de certificação do mundo. Opomo-nos fortemente à ação do Google que tem como alvo os certificados Symantec SSL / TLS da Symantec no navegador Chrome. Esta ação foi inesperada e acreditamos que o post do blog foi irresponsável. Esperamos que isto não tenha sido calculado para criar incerteza e dúvida dentro da comunidade da Internet sobre nossos certificados SSL / TLS.

As declarações do Google sobre nossas práticas de emissão e o escopo de nossas falsas emissões anteriores são exageradas e enganosas. Por exemplo, a alegação do Google de que emitimos incorretamente 30.000 certificados SSL / TLS não é verdadeira. No evento que o Google está se referindo, 127 certificados – não 30.000 – foram identificados como emitidos incorretamente, e eles não causaram nenhum dano ao consumidor. Nós tomamos medidas de remediação abrangentes para corrigir esta situação, assim que concluída a nomeação do parceiro envolvido como uma autoridade de registro (RA), e em um movimento para fortalecer a confiança dos certificados SSL / TLS emitidos pela Symantec, anunciamos a interrupção de nosso programa de RA. Esse aprimoramento de controle é um passo importante que outras autoridades de certificação públicas (CA – Certification Authorities) ainda não seguiram.

Embora todas as principais CAs tenham tido eventos de emissão incorreta de certificados SSL / TLS, o Google destacou a Autoridade de Certificação da Symantec em sua proposta, mesmo que o evento identificado na postagem do blog do Google envolvesse várias CAs.

Operamos nossa autoridade de certificação (CA) de acordo com os padrões da indústria. Nós mantemos extensos controles sobre nossos processos de emissão de certificados SSL / TLS e trabalhamos para fortalecer continuamente nossas práticas de CA. Investimos substancialmente e continuamos comprometidos com a segurança da Internet. A Symantec tem um compromisso público e forte com o registro de Certificados de Transparência (CT) para certificados Symantec e é uma das poucas autoridades certificadoras que hospeda seus próprios servidores de CT. A Symantec também foi defensora da Autorização de Autoridade de Certificação (CAA – Certification Authority Authorization) e solicitou ao CA/Browser Forum uma alteração de regras para exigir que todas as autoridades de certificação explicitamente suportem CAA. Nossa contribuição mais recente para o ecossistema da CA inclui a criação do programa de criptografia Everywhere, nosso programa freemium, para criar uma adoção generalizada de sites criptografados.

Queremos tranquilizar nossos clientes e todos os consumidores para que possam continuar confiando nos certificados SSL / TLS da Symantec. A Symantec defenderá vigorosamente o uso seguro e produtivo da Internet, incluindo a minimização de qualquer possível interrupção causada pela proposta no blog do Google.

Estamos abertos a discutir o assunto com o Google em um esforço para resolver a situação nos interesses compartilhados de nossos clientes e parceiros comuns.”

Fonte: Computer World