Início » Antivírus e Segurança » Google e Symantec estão em pé de guerra por causa de certificados SSL

Google e Symantec estão em pé de guerra por causa de certificados SSL

Emerson Alecrim Por

O Google tem pressionado sites de todos os tipos e tamanhos a usarem SSL/TLS. A procura por esse tipo de certificado aumentou bastante nos últimos meses, consequentemente, com a Symantec se posicionando como uma das maiores empresas desse mercado. Mas as duas estão em pé de guerra: o Google acusa a Symantec de não implementar adequadamente os certificados, problema que, se comprovado, pode comprometer a segurança dos usuários.

Quando você acessa uma página que começa com https://, está diante de um site com SSL/TLS. Esse recurso, essencialmente, valida a identidade do site e criptografa as informações que o usuário recebe ou envia ao endereço. Na prática, os visitantes ficam mais protegidos. É por isso que, nas buscas, o Google está priorizando, progressivamente e à medida do possível, sites com HTTPS.

Para um certificado funcionar, ele precisa ser emitido por uma autoridade de certificação (CA, na sigla em inglês). Uma delas é a Symantec — talvez a maior: um levantamento da Netcraft aponta que a companhia é responsável pela emissão de um a cada três certificados, aproximadamente. Isso porque, atualmente, a Symantec controla os certificados de várias empresas do segmento, como VeriSign, GeoTrust e RapidSSL.

A emissão e o gerenciamento dos certificados devem seguir os critérios estabelecidos pela CA/Browser Forum, entidade que reúne, além de CAs, companhias que desenvolvem navegadores (incluindo aí o Google).

Quando uma CA — ou, dependendo das circunstâncias, alguma organização vinculada a ela — fere as regras desse ecossistema, os demais participantes da CA/Browser Forum podem questionar as atividades da empresa. É mais ou menos isso o que o Google está fazendo.

Segundo a companhia, uma equipe do Chrome está desde 19 de janeiro investigando certificados emitidos pela Symantec. Esse trabalho aponta que pelo menos 30 mil certificados foram gerados sem que certas práticas de segurança fossem seguidas, entre elas, a validação do controle do domínio e a auditoria de registros.

As investigações começaram no início do ano, mas o problema foi descoberto há mais tempo: a Symantec emitiu certificados com erros para o próprio Google e para a Opera Software em outubro de 2015, segundo Ryan Sleevi, engenheiro de software que trabalha no Chrome.

Em sua defesa, a Symantec alegou que investigou o problema e descobriu que os certificados foram emitidos como parte de um teste de rotina e, portanto, não houve comprometimento da segurança ou prejuízo às partes. Tudo teria sido resolvido com a investigação.

Symantec

Essa briga vai longe. A Symantec se defende dizendo que a equipe do Chrome está exagerando no número de certificados com problemas, que aqueles que realmente têm erros não afetaram a segurança dos clientes envolvidos e que outras CAs tiveram falhas semelhantes, mas não estão sendo cobradas por isso.

Já o Google vê o problema com tanta gravidade que, se medidas corretivas não forem tomadas, considerará não reconhecer mais os certificados emitidos pela Symantec, de maneira progressiva. Assim, os clientes afetados terão tempo para fazer trocas por certificados novos e que atendem aos critérios de segurança.

Mas há boas chances de ambas as companhias chegarem a um acordo antes que a situação se agrave. Parecendo reconhecer que está em desvantagem, a Symantec já deixou claro que, apesar de rechaçar as acusações, está disposta a discutir com o Google formas de pôr fim a esse tão complicado embate.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Osmar Correia Junior
Aperece não seguro porque o Google não está aceitando mais algorítimo SHA 1
Osmar Correia Junior
Pelo contrario, o Google quer uma fatia desse mercado.
Myke Suzuki
e por isso que tem varios sites aparecendo NAO SEGURO ??? ao lado do https://
Abraão Caldas
Meio óbvio que ela quer tirar o dela da reta.
Osmar Correia Junior
Puro boicote! O google quer uma fatia de dinheiro desse mercado e a maneira de se conseguir isso é atingindo a maior e melhor Certificadora SSL do MUNDO! Symantec segue praticas de seguranças que outras certificadoras NÃO seguem. Abraço e espero que da próxima vez a Tecnoblog seja mais transparente nas informações.
Osmar Correia Junior
Na Symantec, temos o orgulho de ser uma das principais autoridades de certificação do mundo. Opomo-nos fortemente à acção que o Google tomou para direccionar certificados SSL / TLS da Symantec no navegador Chrome. Esta ação foi inesperada, e acreditamos que o post do blog foi irresponsável. Esperamos que não tenha sido calculado para criar incerteza e dúvida dentro da comunidade da Internet sobre nossos certificados SSL / TLS. As declarações do Google sobre nossas práticas de emissão e o escopo de nossas passagens erradas anteriores são exageradas e enganosas. Por exemplo, a alegação do Google de que emitimos erroneamente 30.000 certificados SSL / TLS não é verdadeira. No evento que o Google está se referindo, 127 certificados - não 30.000 - foram identificados como mis-emitidos, e eles resultaram em nenhum dano ao consumidor. Nós tomamos medidas de correção abrangentes para corrigir esta situação, imediatamente terminou a nomeação do parceiro envolvido como uma autoridade de registro (RA), e em um movimento para fortalecer a confiança dos certificados SSL / TLS emitidos pela Symantec, anunciou a descontinuação do nosso programa RA. Esse aprimoramento de controle é um passo importante que outras autoridades de certificação públicas (ACs) ainda não seguiram. Embora todas as principais CAs tenham tido eventos de emissão de certificados SSL / TLS, o Google destacou a Autoridade de Certificação da Symantec em sua proposta, mesmo que o evento de emissão incorreta identificado na postagem do blog do Google envolvesse várias CAs. Operamos nossa CA de acordo com os padrões da indústria. Nós mantemos extensos controles sobre nossos processos de emissão de certificados SSL / TLS e trabalhamos para fortalecer continuamente nossas práticas de CA. Investimos substancialmente e continuamos comprometidos com a segurança da Internet. A Symantec tem um compromisso público e forte com o log de Certificado de Transparência (CT) para certificados Symantec e é uma das poucas CAs que hospeda seus próprios servidores CT. A Symantec também foi um campeão da Autorização de Autoridade de Certificação (CAA) e solicitou ao CA / Browser Forum uma alteração de regras para exigir que todas as autoridades certificadoras suportam explicitamente a CAA. Nossa contribuição mais recente ao ecossistema da CA inclui a criação do programa de criptografia Everywhere, nosso programa freemium, para criar uma adoção generalizada de sites criptografados. Queremos tranquilizar nossos clientes e todos os consumidores para que possam continuar confiando nos certificados SSL / TLS da Symantec. A Symantec defenderá vigorosamente o uso seguro e produtivo da Internet, incluindo a minimização de qualquer possível interrupção causada pela proposta no blog do Google. Estamos abertos a discutir o assunto com o Google em um esforço para resolver a situação nos interesses compartilhados de nossos clientes e parceiros comuns.
Osmar Correia Junior
Boa Lucas! segue o link do verdadeiro ocorrido. https://www.symantec.com/connect/blogs/symantec-backs-its-ca
Osmar Correia Junior
Eles não tem moral pra falar, pois utilizam Certificado SSL validação rápida, da qual qualquer um pode comprar e solicitar.
Osmar Correia Junior
https://www.symantec.com/connect/blogs/symantec-backs-its-ca Eis a noticia e os dados verdadeiros. Tecnoblog retifica a informação, coloque o que realmente aconteceu.
Osmar Correia Junior
https://www.symantec.com/connect/blogs/symantec-backs-its-ca Por gentileza acesse o link e veja a informação verdadeira.
Osmar Correia Junior
Prezado cliente, Na última sexta-feira, dia 24, foi publicada uma notícia, no Forúm do Google, na qual é relatada algumas propostas da empresa Google em relação aos Certificados SSL da Symantec por conta do processo de emissão. Para afastar qualquer dúvida em relação a confiabilidade dos nossos produtos, aCertisign, Autoridade Certificadora líder da América Latina, esclarece que a emissão dos Certificados SSL, da hierarquia Symantec, comercializados por ela, obedece padrões de segurança física e lógica utilizados mundialmente e que, portanto, não oferecem nenhum risco aos usuários. Fique tranquilo. As informações divulgadas pelo Google são propostas e não ações. O(s) seu(s) Certificado(s) SSL continuará(ão) sendo reconhecido(s) pelo Google Chrome, seus servidores estão seguros e a navegação dos seus usuários não está em risco. A Symantec já está em contato com o Google para alinhar as medidas, e a Certisign acompanhará de perto todos os passos reafirmando o compromisso de oferecer a você sempre os melhores produtos. Vale ressaltar que a Certisign, além de seguir padrões mundiais de segurança, é auditada pela WebTrust, que atesta a conformidade das práticas dela de acordo com o American Institute of Certified Public Accountants (AICPA) e o Canadian Institute of Chartered Accountants (CICA). Para ler o comunicado oficial da Symantec sobre o ocorrido, CLIQUE AQUI. https://www.symantec.com/connect/blogs/symantec-backs-its-ca
Osmar Correia Junior
https://www.symantec.com/connect/blogs/symantec-backs-its-ca
NoobIsrael
Ah, é verdade.
CtbaBr©

Também tenho percebido isso!
É inegável a importância do Google no meio digital, é inegável que suas contribuições são imensas, mas também é inegável que ultimamente o Google esta adotando uma politica agressiva demais, eu diria até ditatorial!

CtbaBr
Também tenho percebido isso! É inegável a importância do Google no meio digital, é inegável que suas contribuições são imensas, mas também é inegável que ultimamente o Google esta adotando uma politica agressiva demais, eu diria até ditatorial!
Exibir mais comentários