Coautoria de Jeremy Rowley
O usuário médio da Web pode não perceber quanto trabalho acontece nos bastidores para preservar a segurança do mundo digital. No entanto, são os certificados digitais emitidos por autoridades de certificação (CAs) que garantem a confiabilidade de sites, e-mails, servidores e software. Essas CAs são consideradas confiáveis por organismos criadores de padrões, como o Certificate Authority/Browser (CA/B) Forum.
Às vezes, devido a erro humano ou a bugs no código, os certificados emitidos não atendem aos requisitos de conformidade rígidos dos operadores de armazenamentos de raízes. Quando isso acontece, a CA precisa ser transparente sobre o que aconteceu, revogar os certificados e ajudar a comunidade a aprender com o erro.
Mas, como vimos no caso do fim da confiança do Google Chrome na Entrust, as consequências de não mitigar os danos na hora certa podem ser gigantescas — para as CAs e seus clientes.
Em junho de 2024, a equipe de segurança do Google Chrome anunciou o fim da confiança em certificados TLS emitidos pela Entrust após 31 de outubro de 2024. Alguns meses antes, a Entrust tinha admitido ter emitido incorretamente mais de 26.000 certificados TLS EV.
O prazo de revogação de certificados emitidos incorretamente descrito nos Requisitos de linha de base do CA/B Forum é muito curto — 24 horas ou cinco dias, dependendo da natureza do problema. Em geral, a CA pode corrigir o problema com impacto mínimo nas organizações, mas a Entrust não fez nada para revogar ou substituir os certificados afetados.
O efeito da inação para as organizações pode significar panes, incerteza sobre o status da CA e perda da confiança dos clientes. E, para CAs como a Entrust que deixam de revogar e substituir os certificados emitidos incorretamente, isso pode causar o fim da confiança dos navegadores na CA, como aconteceu com o Google em 2024.
Os bugs são comuns em software, e por isso erros de emissão acontecem mesmo nos ciclos de vida de desenvolvimento de software mais sofisticados. Quando isso acontece, o objetivo principal da CA precisa ser descobrir onde ocorreu o erro e garantir que não ocorra novamente.
Em 2023, a DigiCert descobriu que 300 certificados emitidos para um fabricante de dispositivos global não atendiam aos requisitos de perfil rígidos dos Requisitos de linha de base do CA/B Forum. Segundo esses requisitos, tínhamos cinco dias para revogar os certificados e manter a conformidade com os padrões — os padrões que todas as CAs aceitam como parte de seu papel de entidade com confiança pública.
Só havia um problema: Depois de conversar sobre o assunto com o cliente, ficou claro que revogar os certificados num prazo de cinco dias causaria uma gigantesca interrupção de sistemas críticos, afetando a segurança dos consumidores. Trabalhamos com o fabricante e determinamos que seria necessário um mês para substituir os certificados emitidos incorretamente.
Deixar de seguir as regras do CA/B não era uma opção. Revogar os certificados sem ter implantado certificados substitutos também não. Assim, consultamos a comunidade e trabalhamos com nossos clientes ininterruptamente para implantar seus novos certificados.
Embora essa experiência tenha sido estressante para todos os envolvidos, pensar no que deu errado ajudou o nosso cliente a tomar medidas para que erros na emissão de certificados não se tornassem algo recorrente.
Estas são as nossas recomendações para qualquer organização que dependa de certificados para permanecer segura:
O CA/B Forum só define padrões para certificados de confiança pública. Não existe um prazo de revogação em cinco dias para certificados com confiança privada. Para o nosso cliente fabricante de dispositivos, usar certificados de confiança pública onde não são necessários — nesse caso, dispositivos conectados — abriu a porta para problemas desnecessários.
Nossa recomendação? Examine seu uso de certificados e elimine o risco de revogações que interrompem os negócios passando de certificados de confiança pública para privada quando você só precisar dessa última.
Estes são alguns dos casos de uso mais comuns para certificados de confiança privada:
Também recomendamos executar verificações de conformidade automatizadas em seus certificados usando o pkilint, o linter para certificados open-source e gratuito da DigiCert.
Muitas empresas ainda usam planilhas para rastrear certificados manualmente. Com uma solução de gerenciamento do ciclo de vida dos certificados (CLM) implantada, cumprir o prazo de cinco dias do CA/B Forum não é um problema. Mas, sem essa solução, substituir certificados emitidos incorretamente pode exigir um processo manual complexo que leva várias semanas.
Se a sua organização ainda não usa um CLM abrangente, implemente uma solução como o DigiCert Trust Lifecycle Manager, que fornece:
A confiança digital sobre a qual tanto falamos na DigiCert não é um conceito abstrato — ela é objetiva e mensurável. Os sites e produtos digitais das organizações estão protegidos por certificados confiáveis ou não estão. As CAs seguem os padrões definidos por grupos como o CA/B Forum, ou não o fazem.
Quando uma CA aceita fazer parte de uma comunidade de confiança, sua confiabilidade é medida pela transparência e disposição de seguir as regras. Isoladamente, um erro de emissão não leva automaticamente ao fim da confiança. O que mais importa é o motivo do problema, o que a CA aprende com a situação e como a CA trata o incidente.
Quer saber mais sobre assuntos como gerenciamento do ciclo de vida dos certificados, confiança digital ou soluções de confiança digital da DigiCert? Assine o blog da DigiCert para ter certeza de que vai estar sempre por dentro de tudo.