Em 2017, a Google acusou a Symantec, uma das mais importantes Autoridades de Certificação (CAs), de violar a confiança dos usuários da Internet em comunicação criptografada na web. Em seu post no Google Groups em 23 de março de 2017, o engenheiro do Google Ryan Sleevi alegou que a Symantec emitiu mal aproximadamente 30.000 certificados SSL durante um período de vários anos. Em um esforço para fortalecer a segurança do site, o Google reduziu consideravelmente a confiança depositada nos certificados da Symantec. Em meio à guerra de certificados entre o Google e a Symantec, as organizações não puderam ignorar os avisos de segurança do navegador, já que um site potencialmente inseguro do Google Chrome vai reduzir drasticamente a confiança dos clientes.
Conflito sobre a confiança
Os certificados SSL formam a espinha dorsal da segurança na Internet e as CAs que os emitem representam o grau de confiança que os usuários depositam na comunicação com o website. O Google alegou que eles estavam investigando uma série de certificados indevidamente validados da Symantec desde janeiro de 2017, descobrindo inicialmente um conjunto de 127 certificados erroneamente emitidos. Mas ao longo de sua investigação, o número de mais emissões cresceu para quase 30.000, abrangendo vários anos. Foi uma acusação séria que enfraqueceu completamente a confiança que os usuários podiam colocar na navegação na web criptografada.
O Google propôs remediar a situação desconfiando dos certificados de Validação Estendida (EV) emitidos pela Symantec há pelo menos um ano. Eles também declararam que o período de validade aceito para todos os certificados da Symantec será gradualmente reduzido para nove meses.
O que é que este significa para a sua organização ?
Independentemente da indústria em que você esteja, seu site é uma interface que representa sua organização para os clientes. Garantir que os usuários percebam o seu site como seguro é importante para incutir confiança em seus clientes. Considerando essa história antiga, porém importante: as restrições severas do Google contra certificados inseguros da Symantec, as organizações devem sempre tomar as medidas apropriadas para substituir seus certificados vulneráveis por novos certificados para evitar avisos de segurança do navegador em seus sites.
Você é resiliente aos problemas da CA ?
A Symantec no fim, reconheceu que alguns certificados foram erroneamente emitidos e propôs uma série de medidas corretivas depois de buscar o feedback de seus clientes sobre os problemas de compatibilidade e interoperabilidade que poderiam surgir da implementação da proposta do Google. Como parte dessas medidas corretivas, a Symantec realizará auditorias periódicas de seus certificados emitidos, permitirá que terceiros auditem seus certificados e encurte seu período de validade de certificado para três meses.
Todas estas medidas exigem a automação do ciclo de vida do certificado. Embora os certificados SSL formam a base da segurança do site, a maioria das organizações não tem a agilidade de responder a questões CA dessa escala.
O Key Manager Plus ajuda você a reagir com facilidade a esses problemas de CA, fornecendo uma visibilidade completa do seu ambiente SSL. Siga estas três etapas simples para proteger sua organização contra o fallout do certificado da Symantec:
Filtre todos os certificados da Symantec:
Primeiro, você precisa verificar a rede e isolar todos os certificados da Symantec. A ferramenta de descoberta do Key Manager Plus ajuda você a encontrar todos os certificados da Symantec em seu ambiente, exibindo todos eles em uma única janela.
Substituir certificados antigos:
Depois de ter todos os certificados da Symantec em um só lugar, você pode optar por trocar certificados antigos da Symantec por novos. Você também pode solicitar novos certificados de outras CAs usando a ferramenta de solicitação de certificado no Key Manager Plus.
Implantar novos certificados:
Depois de obter certificados de várias CAs, consolide-os e implemente-os em seus respectivos servidores de domínio diretamente do repositório de certificados do Key Manager Plus.
ACS Pro Revendedor Autorizado ManageEngine e Zoho no Brasil.
Fone / WhatsApp (11) 2626-4653.
