O fim da validação online de certificados

[Luciano Fernandes]

Boa tarde! Desejo que todas(os) estejam bem

O Google planeja em breve desligar checagens online da validade de certificados SSL em seu navegador Chrome, de acordo com uma entrada de seu blog pessoal, Adam Langley, o desenvolvedor encarregado desse elemento do navegador. Ao contrário, o navegador vai usar um mecanismo de atualização para receber listas de certificados revogados.

Quando navegadores realizam uma conexão, eles conferem se o certificado apresentado pelo servidor já foi bloqueado pela autoridade certificadora, usando tanto as listas de revogação de certificados da autoridade (certificate revocation lists, ou CRLs) ou, direta e interativamente, o Online Certificate Status Protocol (OCSP). Mas todo o processo nunca foi completamente confiável, uma vez que na falta de certeza da validade de um certificado - se por exemplo o pedido OCSP não funcionar - o navegador simplesmente "faz vista grossa" para o problema. Caso contrário existiriam muitos alarmes falsos.

Ao mesmo tempo, um invasor manipulando conexões SSL podem geralmente interromper pedidos OCSP, como foi facilmente demonstrado por ferramentas como sslsniff. Quando a violação de segurança do revendedor Comodo tornou a revogação de certificados necessária, os desenvolvedores de navegadores web foram obrigados a implementar as revogações em seus navegadores através de atualizações.

Uma vez que pedidos OCSP aumentam significativamente o tempo de carregamento para páginas SSL, mesmo durante operações normais, o Google planeja tirar o melhor dessa situação. No futuro, checagens online serão feitas e substituídas por listas que são renovadas por um mecanismo de atualização que não pede que o navegador reinicie e torna as listas atualizadas disponíveis imediatamente. Langley está convidando todas as autoridades certificadores para contribuir com suas listas de revogação para o navegador Chrome antes que o Google implemente as mudanças. Resta agora esperar para conferir se, e até que ponto, essa mudança vai também afetar a validação estendida de certificados.


Caso tenha gostado do post, por favor, prestigie a fonte para este e outros assuntos afins o agradece sua preferência, volte sempre!


ORIGEM CRIACIONAL: Linux New Midia

Vivamos a LIBERDADE com total DIGNIDADE!

[Miguel Fonseca]

Boas Luciano, obrigado pela partilha, sem dúvida uma medida importante, que vai aumentar a segurança e a rapidez da navegação.

Mas e há sempre um mas, a parte de Langley estar envolvida não é de maneira nenhuma uma boa notícia!

Estando eles envolvidos na compilação da "lista" de certificados, significa, para mim, mais uma maneira de controle sobre aquilo que vamos ou não ter acesso!

E esta é uma MUITO MÁ NOTÍCIA!!!!

Juntamente com o facto de a Google estar de "mãos dadas" com eles neste "projecto", prevejo um Futuro muito "negro" no que toca à Liberdade na Internet!

E ninguém faz nada para impedi-los!

Bem..que fazer?

Cumps.

[Bitetti]

Sites q reconhecidamente mandam virus e outras tranqueiras até vai q é adimissível aquele "alerta", na verdade nao vi no artigo onde esta que isso iria proibir o navegador de acessar o site.

[Miguel Fonseca]

Boas Bitetti, aquilo que não viste está implícito.

Basta veres que se um site tiver o certificado revogado, não faz dele um site perigoso, certo?

Mas, se o utilizador ver no seu navegador a indicação que o certificado foi revogado e que pode ser perigoso navegar no mesmo, cerca de 99% se não os 100% dos utilizadores já não visitarão esse site! Certo?

Então se Langley está envolvida no processo de validação dos sites e, ao abrigo da "suposta" segurança Nacional, detêm o Poder (que sabemos que têm!) para manipular as "empresas responsáveis pela verificação/atribuição dos certificados", podem, como já o fazem nos dias de hoje, "afastar" os utilizadores de determinados sites através da pressão sobre as tais "empresas" para a não atribuição dos certificados.

E não só, se a Google entrar no "barco", podem através do algoritmo do motor de busca, acrescentar ou retirar determinados sites do "role" daqueles que "têm" (neste caso não!) os certificados revogados.

Embora isto pareça algo "paranóico" e do género de teoria de conspiração, é perfeitamente plausível se tivermos em atenção os recentes acontecimentos.
Refiro-me, é evidente, à "caldeirada" com o megaupload, que adveio da ainda maior "salganhada" SOPA e PIPA, para não falar do projecto ACTA na Europa.

Se procurares um pouco pela net, até no YouTube, vais entender melhor o que estou para aqui a escrever.

De qualquer maneira, esta é a minha opinião, como referi no meu primeiro "post".

E tu tens todo o direito à tua.

Cumps.

[Claudio Novais]

significa, para mim, mais uma maneira de controle sobre aquilo que vamos ou não ter acesso!

Pois, realmente quando li a notícia pensei logo nisso. Pensei logo que isto será um atalho bastante apelativo para governos controladores, nomeadamente para situações exatamente previstas pelo SOPA. Não me parece que isto seja uma solução ótima, pois será demasiado poder centralizado.