Google e Mozilla deixarão de confiar em certificados de segurança emitidos por empresa chinesa
02 de abril de 2015 0
Dois dos principais navegadores, Google Chrome e Mozilla Firefox, deixarão de confiar em todos os certificados digitais emitidos pela China Internet Network Information Center (CNNIC), uma organização que emite certificados de segurança para sites que utilizam encriptação HTTPS.
Isso significa que centenas de sites chineses, no setor comercial, financeiro, serviços em nuvem, entre muitos outros, deixarão de ser considerados confiáveis por estes navegadores. A Microsoft também estuda tomar a mesma decisão.
O motivo foi uma falha ocorrida na última semana, que levou a Google a criticar publicamente à CNNIC. A empresa chinesa delegou a função de emitir certificados a uma companhia egípcia chamada MCS Holdings, que utilizou protocolos de baixa segurança e realizou instalações precárias, o que colocou em risco a segurança dos usuários que acessaram os domínios dos sites.
A MCS usou os certificados em um proxy man-in-the-middle, o que possibilitou interceptação de conexões seguras. Tais meios são às vezes usados por empresas para monitorar o tráfego criptografado dos trabalhadores.
A postura da Google, porém, foi considerada radical. A companhia irá banir totalmente não só os certificados da MCS, mas todos aqueles da CNNIC. A atitude causou surpresa entre alguns especialistas de segurança, que consideraram excessiva. O representante da CNNIC declarou que a decisão é inaceitável e incompreensível para a empresa, e pede que a gigante de Mountain View tenha em plena consideração os direitos e interesses dos usuários, que terão a navegação prejudicada.
Na visão da Google, a atitude é justificável, uma vez que a falta de cumprimento dos padrões exigidos pela companhia permitiu que credenciais não autorizadas fossem levadas para Gmail e vários outros domínios do Google. No entanto, isso pode deixar um grande número de usuários de repente incapazes de acessar bancos e sites de comércio eletrônico.
Para dar aos administradores dos sites afetados tempo hábil para obter novas credenciais de uma autoridade de certificação diferente, o Google vai esperar um período indeterminado de tempo, utilizando uma whitelist, antes de implementar as mudanças no seu navegador. Uma vez que o período de tolerância terminar, Google irá barrar certificados raiz do CNNIC.
Já o Firefox optou primeiro por levar a discussão à sua comunidade, publicamente, antes de tomar alguma decisão. Nesta quinta-feira de manhã, a Gerente de Programa CA da Mozilla, Kathleen Wilson, publicou um post que confirmou os planos da empresa para os certificados CNNIC. Segundo ela, a postura da CNNIC em permitir a emissão de um certificado a uma empresa sem as devidas prática de segurança, levou à decisão da Mozilla em atualizar o seu código para que os seus produtos não confiem em qualquer certificado emitido pelas raízes do CNNIC.
A Google afirma que a CNNIC estará trabalhando para evitar quaisquer incidentes futuros e implementará Certificado de Transparência para todos os seus certificados, antes de qualquer pedido de reinclusão. Parabenizou a chinesa pela atitude pró-ativa, e afirmou que a receberá de volta quando aplicar os controles técnicos adequados.
A Mozilla publicou um longo documento sobre os detalhes do problema e sobre como chegou à sua decisão.
Como essa é uma escolha que afetará muitos usuários e empresas, provavelmente essa será uma história longe de chegar ao fim.
Nenhum comentário:
Postar um comentário