Acesso rápido

Não compre um selinho de segurança

por Marisa Viana Terça-feira, 26 de fevereiro de 2013

Hoje em dia, falar de compra segura, não clicar em links, não abrir e-mails de remetentes desconhecidos virou muito mais que lugar comum. Se junta a esse lugar comum a necessidade de utilização de um certificado digital.

Correndo o risco de ser óbvia, o certificado digital nada mais é do que o famoso cadeado exibido na barra do navegador que tem duas principais funcionalidades: garantir a criptografia dos dados e dar autenticidade à página. Apenas isso. O certificado não deixa o site mais ou menos seguro, nem mais ou menos rápido. Isso, todo mundo sabe. O que nem todo mundo sabe é que na emissão de um certificado digital, a parte mais importante é o antes da emissão e não o certificado em si.

Todos os certificados utilizam como padrão de criptografia o algoritmo RSA. Por essa premissa, todos têm os mesmos padrões de tecnologia e segurança. O que muda então, além do preço a se pagar pelo serviço? Se seu foco é unicamente o preço, talvez seja necessário rever alguns conceitos. A validação de informações e a garantia de que o certificado está sendo emitido para a companhia a qual determinado domínio realmente pertence, são vitais na emissão de um certificado. É o processo de validação que garante que uma empresa A não pode comprar um certificado em nome da empresa B.

Alia-se a essa questão compras efetuadas em empresas fora do Brasil, que possuem por esta razão, legislações diferentes. Existem seguros e obrigatoriedades que as CAs devem possuir, no contrário, a empresa que adquire o serviço pode não ter respaldo legal e financeiro, caso tenha problemas. No Brasil, apenas duas empresas atuam como Autoridades Certificadoras, ou seja, que emitem e gerenciam diretamente os certificados.

Além disso, contar com um técnico falando português a qualquer hora do dia ou da noite é um diferencial nem sempre levado em conta, mas que faz considerável diferença se seu site ou aplicação, seja lá por qual motivo for, ficar com o certificado digital indisponível durante o final de semana, por exemplo. Situações onde o servidor é totalmente perdido ou o host exclui indevidamente o certificado, não são tão surreais quanto pode parecer, pelo contrário. E quando isso acontece você faz ideia do SLA para uma nova emissão, se não houver backup, ou até mesmo se ela tem custos? Novamente estamos falando de diferenciais.

Recentemente pudemos observar na mídia notícias de fraude em uma Autoridade de Certificação holandesa. Nessa fraude foram gerados vários certificados de forma ilegal, inclusive um deles para o site google.com. Posteriormente foi descoberto que o certificado em questão foi utilizado para espionar contas de Gmail de mais de 300 mil iranianos. Neste caso em específico, a vulnerabilidade estava na Autoridade Certificadora, que por falhas de segurança teve seu sistema invadido por hackers. De qualquer forma, a maneira com que a CA valida as informações de seus clientes e a maneira que atende às boas práticas de segurança recomendadas, diz muito sobre sua própria infra estrutura.

Muitas pessoas ainda acham que o certificado digital é o selo de validação. É constante a solicitação de compra por um selo e não por um certificado. Entretanto, o selo é apenas a maneira visual de demonstrar ao consumidor que o site possui criptografia e é autêntico, mas o que faz isso ser possível é o certificado. Não é raro, infelizmente, identificar sites que utilizam selos de validação indevidamente. Por vezes encontramos um selo de uma empresa diferente da que realmente certifica o site e outras vezes, encontramos selos em websites que sequer possuem um certificado digital.

Essa situação nos coloca diante da necessidade de conscientização não só dos consumidores finais, mas também dos desenvolvedores, gestores e demais profissionais de Segurança. No mercado brasileiro existem diversos tipos de certificados que atendem de grandes empresas até certificados específicos para desenvolvedores com valores mais acessíveis.

Portanto, se o seu foco de decisão ao optar por um certificado digital é apenas o preço, cuidado. Como já diria o velho ditado, o barato pode sair caro.

 

Você recomendaria esse artigo para um amigo?

Nunca

 

Com certeza

 

Deixe seu comentário

2 comentários

Comentários

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentando como Anônimo

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

  1. Nos testes que fizemos aqui, equipamentos de baixo desempenho tem a velocidade de navegação degradada em função do uso ou não de conexão criptografada (https://www…).

    Smartphones e tablets mais simples (normalmente android, por ser a escolha dos fabricantes devido ao custo baixo de desenvolvimento). Computadores mais antigos também.

    Aqui escolhemos criptografar apenas as páginas com conteúdo que necessite desse tratamento. Não há porque criptografar uma vitrine de loja, por exemplo, e há também o aspecto de que é muito mais provável que haja uma falha de segurança no computador do usuário (um keylog, por exemplo) do que um sniffer de rede – apesar de sabermos que os governos usam tecnologias de log de rede.

    Responder

  Assine nossa Newsletter

Fique por dentro de todas as novidades, eventos, cursos, conteúdos exclusivos e muito mais.

Obrigado!

Você está inscrito em nossa Newsletter. Enviaremos, periodicamente, novidades e conteúdos relevantes para o seu negócio.

Não se preocupe, também detestamos spam.