Google junta-se à Apple no limite validade certificados Web

Publicado em 05/07/2020 22:06 em Segurança Informática

Depois de em Fevereiro passado a Apple ter anunciado que iria limitar a partir de 1 de Setembro a validade dos certificados HTTPS no navegador Safari a pouco mais de um ano (398 dias), a Google prevê igual medida com o navegador Chrome a partir da mesma data, indica a publicação Internet The Register.

Num artigo de Shaun Nichols, aquele jornal online de tecnologias revela que a Mozilla deverá adoptar posição idêntica para o seu navegador Firefox, limitando também a cerca de um ano a validade dos certificados HTTPS.

Quando anunciou a sua decisão, a Apple recomendou aos sítios Internet renovassem as suas certificações utilizando os standards criptográficos mais recentes.

Nichols sublinha que foi uma posição criticada por fornecedores de certificados comerciais, que acusam a Apple de estar a aumentar os encargos dos produtores de software e donos de sítios Internet, mas serviços gratuitos como o «Let’s Encrypt», fornecem ferramentas que permitem renovar regular e automaticamente os certificados sem qualquer custo.

Paul Ducklin, no blog da empresa britânica de segurança informática Sophos, recorda que os certificados Web têm duas partes: uma chave pública, apresentada a todos para identificar o servidor, e uma chave privada, que o servidor usa para provar que realmente é o proprietário da chave pública.

Ducklin salienta que, no contexto dos certificados Web, os cibercriminosos que conseguem apropriar-se da chave privada podem fazer-se passar pelo proprietário original e convencer as pessoas de que o sítio duplicado pertence à entidade original.

Sublinha que a Apple defende que, quanto maior a validade do certificado, maior o tempo de que dispõem os cibercriminosos para conseguir roubar a chave privada ou conseguir uma assinatura fraudulenta, o que justifica que o prazo de validade não exceda muito um ano.

Um relatório da empresa de segurança informática WatchGuard, divulgado há poucos dias, destaca o perigo do malware encriptado e pela primeira vez inclui dados sobre essa matéria, estimando que 67% do malware distribuído no primeiro trimestre foi enviado através e ligações HTTPS, o que significa que as empresas sem soluções de segurança capazes de inspeccionar o tráfego encriptado não conseguem detectar duas em cada três ameaças recebidas.

Acrescenta que as assinaturas de mais de 70% desse tipo de malware não estavam identificadas, o que significa que, sendo software malicioso dia zero, mas protecções baseadas em assinatura não o detectam.

A WatchGard afirma que algumas organizações hesitam em configurar a inspecção HTTPS devido ao trabalho extra envolvido, não inspeccionar já não é uma opção.

«À medida que o malware continua a tornar-se cada vez mais avançado e evasivo, a única abordagem fiável para a defesa é a implementação de um conjunto de serviços de segurança por camadas, incluindo métodos avançados de detecção de ameaças e inspecção HTTPS», observa aquela consultora de segurança informática.

Ainda sem comentários