0
0
Impulsionada pela aceleração da transformação digital e migração para a nuvem durante a pandemia, a análise dos 1 milhão de sites mais importantes do mundo nos últimos 18 meses mostra que, de muitas maneiras, a internet está se tornando mais segura. O uso de criptografia está aumentando e a adoção de protocolos TLS mais recentes está aumentando, revela um relatório da Venafi.
No entanto, apesar da adoção de protocolos de criptografia mais fortes, muitas empresas continuam a usar algoritmos de criptografia RSA legados para gerar chaves, que em conjunto com certificados TLS, atuam como identidades de máquinas que autorizam conexões seguras entre dispositivos físicos, virtuais e IoT, APIs, aplicativos e clusters. Algoritmos RSA são significativamente menos seguros do que as alternativas modernas.
Principais descobertas
- 72% dos sites agora redirecionam ativamente o tráfego para usar HTTPS (Hypertext Transfer Protocol Secure)—um aumento de 15% desde março de 2020.
- Quase um em cada cinco dos principais 1 milhão de sites agora usa HSTS (HTTP Strict Transport Security)—um aumento de 44% desde março de 2020.
- Mais da metade dos 1 milhão de sites principais que usam HTTPS estão usando o TLSv1.3, a versão mais recente do TLS (Transport Layer Security), que ultrapassou o TLSv1.2 para se tornar a versão de protocolo mais popular.
- A RSA continua sendo preferida em algoritmos de assinatura digital, com 50,47% dos sites usando-a.
- Let’s Encrypt é agora a principal CA (Autoridade de Certificados) para certificados TLS, com 28% dos sites usando-a.
Das três categorias de algoritmos de geração de chaves comumente usados para criptografia assimétrica – RSA, DSA e ECDSA – ECDSA é o mais seguro devido à complexidade computacional. O ECDSA gera chaves de autorização significativamente menores, que exigem menos largura de banda para configurar uma conexão SSL/TLS. Essas chaves menores são ideais para aplicativos móveis e, como podem ser armazenadas em dispositivos com restrições de memória muito mais limitantes, as chaves ECDSA são ideais para suportar pilhas mTLS em IoT e dispositivos incorporados.
“Eu esperava que a aceitação no TLSv1.3 empurrasse as pessoas a usar chaves ECDSA para autenticação em vez de RSA porque elas são muito mais seguras, mas infelizmente, isso não aconteceu”, disse Scott Helme, pesquisador de segurança e especialista em criptografia.
“Parece que a RSA ainda é o algoritmo-chave preferido por uma margem bastante considerável. As organizações dizem que mantêm a RSA por perto para clientes legados que ainda não suportam ECDSA, mas o enorme aumento no uso do TLSv1.3 está em desacordo com essa noção, porque também não é suportado por clientes legados.”
“Também continuamos a ver o uso dos algoritmos RSA 3072 e RSA 4096 em números preocupantes. Isso sugere que é necessário mais trabalho para informar os operadores do site sobre as vantagens de segurança e desempenho do mais novo algoritmo de chave ECDSA”, acrescentou Helme.
Protocolos TLS mais recentes no topo dos rankings da CA
A pesquisa também mostra que a Let’s Encrypt agora lidera o mercado da CA para TLS — uma conquista particularmente notável, já que em 2016 a Let’s Encrypt estava completamente ausente do top 1 milhão. Vinte e oito por cento dos sites verificados usam Let’s Encrypt, com Let’s Encrypt e Cloudflare contabilizando mais da metade dos 1 milhão de certificados TLS mais importantes em uso.
A ascensão do Let’s Encrypt foi espelhada por um declínio acentuado no uso de certificados de validação estendida (EV). O número de 1 milhão de sites que usam certificados EV está no seu ponto mais baixo de todos os tempos nos últimos seis anos de análise.
“A ascensão do Let’s Encrypt marca uma queda acentuada no valor percebido dos certificados EV”, disse Kevin Bocek, vice-presidente de estratégia de segurança e inteligência contra ameaças da Venafi. “Os navegadores não dão mais aos certificados EV nenhum tratamento especial, e a velocidade de desenvolvimento hoje simplesmente não acomoda os processos de aprovação lentos e manuais conectados a eles. As tecnologias nativas da nuvem exigem um número muito maior de certificados TLS, e essas tecnologias exigem absolutamente automação para identidades de máquinas. Dado que os certificados EV não são amigáveis à automação, seu uso e valor continuarão caindo.”
FONTE: HELPNET SECURITY