Por que Let’s Encrypt é uma ideia muito, muito, muito ruim…

Views: 81
0 0
Read Time:5 Minute, 8 Second

A capacidade do seu site de classificar nos resultados de pesquisa do Google agora é uma função de se você usa o Secure Sockets Layer (SSL). Ou colocá-lo de outra forma, se você tem endereçado em uma URL começando com “https”.

Em um esforço para promover o uso do SSL em toda a web, os participantes do setor formaram o Let’s Encrypt, um serviço prestado pelo Internet Security Research Group. O serviço decolou, com os principais provedores de hospedagem criando ferramentas para criar automaticamente certificados SSL e instalá-los em sites hospedados. Parece um avanço na segurança cibernética, certo?

Talvez não?

Força cipher, gerenciamento de chaves e a “Superfície da Ameaça”

O coração da criptografia é a chave de criptografia. Imagine por um momento que você tem um bloqueio do mundo real grande e forte o suficiente para suportar um tiro de rifle calibre 50. De que adianta se o bandido acabar com a chave? A analogia digital é a força cifra do certificado usado para criptografar o tráfego do seu site. Para aplicar a analogia de tiro de rifle calibre 50, se o bandido conseguir um porão da “chave privada” usada para gerar o certificado SSL, o tamanho da cifra é totalmente irrelevante.

Existem inúmeras Autoridades de Certificado (CAs) que vendem certificados SSL. Cada um tem seu próprio “Key Management System” (Key Management System” (KMS) auditado externamente. Esses CAs submetem suas auditorias aos principais fornecedores do Sistema Operacional, como Microsoft, Apple e Google, a fim de obter seus “certificados de raiz” na loja de “certificados confiáveis” do SISTEMA OPERACIONAL. Isso é o que faz seus certificados SSL do site funcionarem quando alguém com, digamos, um Mac navega para o seu site.

Do ponto de vista da segurança, a fragmentação de mercado de CAs é uma característica, não um bug.

O certificado SSL da Medium.com foi emitido pela DigiCert (e expirará em agosto — lidera o Medium!). Se o Sistema de Gerenciamento de Chaves da DigiCert for comprometido, todos os seus certificados SSL terão que ser revogados e reemitidos. Mas se um dos outros CAs estiver comprometido, não afetaria o site do Medium.

Let’s Encrypt é um exemplo em que a “conveniência” da emissão automatizada de certificados SSL “gratuitos” é um bug, não um recurso.

Quanto mais sites são protegidos pelos certificados Let’s Encrypt, maior a superfície de ameaça se torna porque o compromisso do KMS da Let’s Encrypt poderia potencialmente afetar um grande número de sites. Let’s Encrypt está sendo escolhido agora porque é uma solução de “fire and forget” para criptografar o tráfego do site. Se um certificado de site for revogado, e ninguém estiver prestando atenção a essa possibilidade, o tráfego cairá vertiginosamente e você, como pessoa de negócios, pode muito bem não ser o mais sábio por que sua geração de leads secou. (O vencimento do certificado, sem ninguém prestar atenção, é por isso que ninguém na Equifax sabia que tinham sido hackeados por meses.)

“Fire and forget” pode não ser uma boa ideia na segurança cibernética. Só estou dizendo…

Pense como um adversário

Para entender por que isso importa, imagine que você poderia se posicionar no meio entre o site de uma empresa e seus clientes ou visitantes. Você pode sugar todo esse tráfego — e se você tiver as chaves privadas de um CA como Let’s Encrypt, você pode descriptografar o tráfego de sites usando seus certificados. Mas isso não é o pior: seu lugar como um “man in the middle” não pode ser detectado pela varredura tradicional. Você não está necessariamente na rede hospedando o site e você não está no computador do cliente/visitante. Mas você está no meio – indetectável e com as chaves do reino.

How would you get there? The easiest and most likely way has little at all to do with technology. You just manage to plant an insider into the CA’s division that administers its Key Management System.

No Skin in the Game

A ameaça privilegiada se aplica a todas as Autoridades de Certificados — mas não igualmente, do ponto de vista da segurança cibernética. Vamos fazer esta pergunta geral:

Quem perde e se o KMS de um CA estiver comprometido?

Antes do Let’s Encrypt, a resposta seria que a propriedade da CA perde reputação e negócios. Se a CA fosse administrada por uma empresa de capital aberto, os investidores perdem valor em seu portfólio e a empresa provavelmente estaria exposta a ações judiciais de acionistas. A gerência provavelmente seria demitida.

Vamos fazer a mesma pergunta de Let’s Encrypt: Quem perde o quê?

Não há “proprietários”, esta é uma organização sem fins lucrativos. Não há receita; os certs SSL são gratuitos.

Ninguém perde nada; não há “skin in the game.”

Três Takeaways

À medida que mais negócios são feitos na web, os empresários gostariam que houvesse uma solução de “fire and forget” para proteger a confidencialidade dos dados de seus clientes. A dura verdade é que essa solução não existe. Então, o que as startups e outras pequenas empresas devem fazer?

Primeiro: Evite a tentação de “livre” e “conveniente”. As principais autoridades de certificados SSL têm ferramentas que você pode usar ou ter o uso da pessoa de suporte do computador, para emitir o certificado SSL do seu site. Eles também oferecem suporte de instalação, assim como as principais empresas de hospedagem. Há um processo para verificar se você possui o domínio, mas não é irracionalmente complicado. Preste atenção especialmente ao seguro de violação que eles oferecem como parte de seu produto.

Segundo: Se o seu site for hospedado por uma empresa de hospedagem, preste atenção ao contrato de hospedagem quando se trata de quem é responsável pelo que em termos de segurança do seu site. Você provavelmente precisará usar suas ferramentas para criar a “solicitação de assinatura de certificado” (RSE). Sua CA exigirá que o RSE gere o certificado.

Terceiro: Se você contratar o desenvolvimento e manutenção do site, pergunte ao provedor se eles carregam seguro cibernético. (Esta é provavelmente a maior razão para evitar o desoneração desse tipo de trabalho.) Exija que eles forneçam provas de cobertura caso seus “erros e omissões” causem que seu site seja violado.

FONTE: MEDIUM

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *