Google e Symantec estão em pé de guerra por causa de certificados SSL
O Google tem pressionado sites de todos os tipos e tamanhos a usarem SSL/TLS. A procura por esse tipo de certificado aumentou bastante nos últimos meses, consequentemente, com a Symantec se posicionando como uma das maiores empresas desse mercado. Mas as duas estão em pé de guerra: o Google acusa a Symantec de não implementar adequadamente os certificados, problema que, se comprovado, pode comprometer a segurança dos usuários.
Quando você acessa uma página que começa com https://, está diante de um site com SSL/TLS. Esse recurso, essencialmente, valida a identidade do site e criptografa as informações que o usuário recebe ou envia ao endereço. Na prática, os visitantes ficam mais protegidos. É por isso que, nas buscas, o Google está priorizando, progressivamente e à medida do possível, sites com HTTPS.
Para um certificado funcionar, ele precisa ser emitido por uma autoridade de certificação (CA, na sigla em inglês). Uma delas é a Symantec — talvez a maior: um levantamento da Netcraft aponta que a companhia é responsável pela emissão de um a cada três certificados, aproximadamente. Isso porque, atualmente, a Symantec controla os certificados de várias empresas do segmento, como VeriSign, GeoTrust e RapidSSL.
A emissão e o gerenciamento dos certificados devem seguir os critérios estabelecidos pela CA/Browser Forum, entidade que reúne, além de CAs, companhias que desenvolvem navegadores (incluindo aí o Google).
Quando uma CA — ou, dependendo das circunstâncias, alguma organização vinculada a ela — fere as regras desse ecossistema, os demais participantes da CA/Browser Forum podem questionar as atividades da empresa. É mais ou menos isso o que o Google está fazendo.
Segundo a companhia, uma equipe do Chrome está desde 19 de janeiro investigando certificados emitidos pela Symantec. Esse trabalho aponta que pelo menos 30 mil certificados foram gerados sem que certas práticas de segurança fossem seguidas, entre elas, a validação do controle do domínio e a auditoria de registros.
As investigações começaram no início do ano, mas o problema foi descoberto há mais tempo: a Symantec emitiu certificados com erros para o próprio Google e para a Opera Software em outubro de 2015, segundo Ryan Sleevi, engenheiro de software que trabalha no Chrome.
Em sua defesa, a Symantec alegou que investigou o problema e descobriu que os certificados foram emitidos como parte de um teste de rotina e, portanto, não houve comprometimento da segurança ou prejuízo às partes. Tudo teria sido resolvido com a investigação.
Essa briga vai longe. A Symantec se defende dizendo que a equipe do Chrome está exagerando no número de certificados com problemas, que aqueles que realmente têm erros não afetaram a segurança dos clientes envolvidos e que outras CAs tiveram falhas semelhantes, mas não estão sendo cobradas por isso.
Já o Google vê o problema com tanta gravidade que, se medidas corretivas não forem tomadas, considerará não reconhecer mais os certificados emitidos pela Symantec, de maneira progressiva. Assim, os clientes afetados terão tempo para fazer trocas por certificados novos e que atendem aos critérios de segurança.
Mas há boas chances de ambas as companhias chegarem a um acordo antes que a situação se agrave. Parecendo reconhecer que está em desvantagem, a Symantec já deixou claro que, apesar de rechaçar as acusações, está disposta a discutir com o Google formas de pôr fim a esse tão complicado embate.
