Os sites de bancos, e-commerce que adotam SSL / Criptografia, geralmente identificados por um cadeado fechado exibido em algum lugar do browser, dependem de uma autoridade certificadora para 
emitir um certificado que garante ao usuário do site que ele é autêntico e confiável. Como o número de “autoridades certificadoras” multiplicou-se as centenas e estão espalhadas por todo o mundo, tornou-se cada vez mais difícil acreditar que aqueles que emitem os certificados não estão usando estes certificados para espionar as atividades dos usuários na Internet. O poder de reconhecer e nomear estas “autoridades certificadoras” foi delegada pelos fabricantes de browser como Microsoft, Mozilla, Google e Apple a várias empresas. Essas empresas, por sua vez, certificaram outras criando uma proliferação de autoridades “certificadoras confiáveis”.
Muitos sites de comércio eletrônico estão adotando um novo tipo de certificado que exige uma verificação recorrente. Se uma autoridade de certificação abusar do seu poder de escuta um usuário com conhecimentos técnicos poderá detectar o ataque e a autoridade da organização certificadora será revogada. Estima-se que existam hoje mais de 650 organizações que podem emitir certificados que serão aceitos pelo Internet Explorer da Microsoft e o Firefox da Mozilla, os dois navegadores mais populares da web. O problema é que algumas dessas organizações estão em países como Rússia e China e são suspeitas de se dedicarem à vigilância generalizada dos seus seus clientes.
Um dos casos mais recentes envolvendo uma destas “autoridades certificadoras” envolveu a Etisalat, uma operadora de celular nos Emirados Árabes Unidos, que se envolveu em disputa com o fabricante do BlackBerry, a Research In Motion – RIM. Os Emirados Árabes Unidos ameaçou interromper alguns serviços BlackBerry devido à recusa da RIM de oferecer um sistema de vigilância de Backdoor para monitoração dos seus clientes. Nos aparelhos vendidos a cerca de 100.000 assinantes do BlackBerry no ano passado nos Emirados Árabes Unidos foi encontrado um spyware instalado . A Research In Motion divulgou patches para remover o código malicioso.
A Electronic Frontier Foundation está pedindo a Verizon, que homologou a Etisalat como autoridade certificadora, que considere a revogação desta autoridade. A Verizon se recusou a comentar a solicitação da EFF. A Etisalat por sua vez pode, por exemplo, emitir certificados falsos para si própria e para dezenas de sites incluindo google.com, Microsoft.com e Verizon.com, e com o uso desses certificados fazer um vigilância quase indetectável e ataques contra os sites além de poder “escutar” redes privadas virtuais (VPN) utilizadas pelas empresas para se comunicar de forma segura com sua matrizes, filiais, parceiros e clientes redor do mundo.
Com certeza é um problema muito sério e deveria estar recebendo mais atenção e ações para que seja resolvido o mais rápido possível. Alguns fabricantes de navegadores, no entanto, sugerem que, embora os ataques sejam possíveis em teoria, o sistema vem funcionando razoavelmente bem a mais de uma década. Eles não são motivos para você entrar em pânico e parar de fazer serviços bancários on-line ou e-commerce, mas requer sua atenção e cuidado para “investigar” que autoridade certificadora emitiu o certificado dos sites que você usa, além de checar os dados da empresa e validade do certificado. Seguro morreu de velho.
Uma nova preocupação: as vulnerabilidades dos que usam criptografia para se comunicar com seus usuários.
Os sites de bancos, e-commerce que adotam SSL / Criptografia, geralmente identificados por um cadeado fechado exibido em algum lugar do browser, dependem de uma autoridade certificadora para emitir um certificado que garante ao usuário do site que ele é autêntico e confiável. Como o número de “autoridades certificadoras” multiplicou-se as centenas e estão espalhadas por todo o mundo, tornou-se cada vez mais difícil acreditar que aqueles que emitem os certificados não estão usando estes certificados para espionar as atividades dos usuários na Internet. O poder de reconhecer e nomear estas “autoridades certificadoras” foi delegada pelos fabricantes de browser como Microsoft, Mozilla, Google e Apple a várias empresas. Essas empresas, por sua vez, certificaram outras criando uma proliferação de autoridades “certificadoras confiáveis”.
Muitos sites de comércio eletrônico estão adotando um novo tipo de certificado que exige uma verificação extensiva. Se uma autoridade de certificação abusar do seu poder de escuta um usuário com conhecimentos técnicos poderá detectar o ataque, e o poder da organização certificadora será revogado. Estima-se que existam hoje mais de 650 organizações que podem emitir certificados que serão aceitos pelo Internet Explorer da Microsoft e o Firefox da Mozilla, os dois navegadores mais populares da web. O problema é que algumas dessas organizações estão em países como a Rússia e China e são suspeitas de se dedicarem à vigilância generalizada dos seus seus clientes.
Um dos casos mais recentes envolvendo uma destas “autoridades certificadoras” envolveu a Etisalat, uma operadora de celular nos Emirados Árabes Unidos, que se envolveu em disputa com o fabricante do BlackBerry, a Research In Motion – RIM. Os Emirados Árabes Unidos ameaçou interromper alguns serviços BlackBerry devido à recusa da RIM de oferecer um sistema de vigilância de Backdoor para monitoração dos seus clientes. Nos aparelhos vendidos nos Emirados Árabes Unidos foi encontrado um spyware instalado em cerca de 100.000 assinantes do BlackBerry no ano passado. A Research In Motion divulgou patches para remover o código malicioso.
A Electronic Frontier Foundation está pedindo Verizon, que permitiu a Etisalat o poder certificar sites da Web, que considere a revogação desta autoridade. A Verizon se recusou a comentar a solicitação da EFF. A Etisalat por sua vez pode, por exemplo, emitir certificados falsos para si própria e para dezenas de sites incluindo google.com, Microsoft.com e Verizon.com, e com o uso desses certificados fazer um vigilância quase indetectável e ataques contra os sites além de poder “escutar” redes privadas virtuais (VPN) utilizadas pelas empresas para se comunicar de forma segura com sua matrizes, filiais, parceiros e clientes redor do mundo.
Com certeza é um problema muito sério e deveria estar recebendo mais atenção e ações para que sejam resolvidos o mais rápido possível. Alguns fabricantes de navegadores, no entanto, sugerem que, embora os ataques sejam possíveis em teoria, o sistema vem funcionando razoavelmente bem a mais de uma década. Eles não são motivos para você entrar em pânico e parar de fazer serviços bancários on-line ou e-commerce, mas requer sua atenção e cuidado para “investigar” que autoridade certificadora emitiu o certificado dos sites que você usa, além de checar os dados da empresa e validade do certificado. Seguro morreu de velho.
