29 de nov. de 2021

Transparência de Certificado para Certificados SSL

Introdução

A GlobalSign está em conformidade com a  Google Certificate Transparency Policy (Política de Transparência de Certificados do Google).Quando você faz um pedido de um certificado SSL / TLS, a página de pedidos inclui o aviso do CT mostrado abaixo: 

Visão geral da transparência do Certificado

O que é Transparência de Certificado - Certificate Transparency?

A transparência do certificado é uma estrutura aberta para monitorizar e auditar a emissão de certificados SSL, que ajuda a proteger qualquer proprietário de dominio contra vários tipos de ameaças baseadas em certificados, incluindo certificados incorretos, certificados adquiridos com códigos maliciosos e autoridades de certificação não autorizadas. A transparência é alcançada ao fazer com que as CAs publiquem Certificados em Registos de CT Qualificados acessíveis ao público. Os clientes podem criar monitores de log, que procuram Certificados emitidos em seus domínios e detectam erros em minutos. Os logs de CT são logs somente de acréscimo e, embora qualquer pessoa possa postar Certificados nos logs, ela será usada principalmente pelas CAs para postar “Pré-Certificados”. Quando os pré-certificados são lançados nos logs, o operador de log retorna um carimbo de data / hora do certificado assinado que comprova que o certificado foi registado. Os SCTs podem ser distribuidos para o navegador em uma variedade de mecanismos. Para obter mais informações sobre a transparência do certificado e como ele funciona, consulte a nossa postagem no blog aqui. 

 

 

Qual a necessidade da transparência do certificado? 

Embora seja viável para navegadores detectar Certificados SSL falsificados ou forjados, é difícil para os navegadores detectarem Certificados emitidos por engano ou Certificados emitidos por uma CA comprometida ou desonesta. O projeto de transparência de certificados do Google tem como objetivo resolver esse problema implementando uma estrutura aberta de: Logs de certificado, monitores de certificado e auditores de certificado.

• Tornar impossível (ou pelo menos muito difícil) para uma CA emitir um certificado SSL para um domínio sem que o certificado seja visível para o proprietário desse domínio.
• Fornecer um sistema aberto de auditoria e monitoramento que permita a qualquer proprietário ou autoridade de certificação determinar se os Certificados foram emitidos por engano ou maliciosamente.
• Para proteger os usuários de serem enganados por certificados emitidos por engano ou maliciosamente.   

Quais são os recursos da transparência do certificado? 

Os seguintes recursos são os benefícios que a Transparência do certificado oferece:

• Detecção antecipada de Certificados Incorretos, Certificados maliciosos e CAs não autorizadas. Na maioria dos casos, o sistema de Transparência de certificados pode detectar Certificados ou CAs suspeitas em algumas horas, em vez de alguns dias, semanas ou meses.
• Mitigação mais rápida após a detecção de Certificados ou CAs suspeitas. Embora a transparência do certificado dependa dos mecanismos de mitigação existentes para lidar com certificados e autoridades de certicação prejudiciais – por exemplo, revogação de certificados – o tempo de detecção reduzido irá acelarar o processo geral de mitigação quando certificados ou autoridades de certificação prejudiciais forem descobertos.
• Melhor supervisão de todo o Sistema TLS / SSL. A transparência do certificado baseia-se numa estrutura aberta que suporta a observação e verificação pública de certificados TLS * SSL recém-emitidos e existentes, que oferecem a qualquer parte interessada a oportunidade de observar e verificar a integridade do sistema TLS / SSL – proprietários de domínio, CAs e usuários.
• Maior segurança na Internet. A transparência do certificado fortalece as cadeias de confiança que se estendem desde as CAs até os servidores individuais, tornando as conexões HTTPS mais confiáveis e menos vulneráveis á intercepção ou representação. Além disso, como medida geral de segurança, a Transparência de certificados ajuda a proteger contra ataques mais amplos à segurança da Internet, tornando a navegação mais segura para todos os usuários.

 

O que acontece com os Certificados que já tenho?

O OV SSL emitido antes de 06 de Novembro de 2017 e o DV SSL emitido antes de 30 de Agosto de 2016 não são afetados e não serão atualizados ou publicados. No entanto, os clientes podem  reissue (reemitir) os seus certificados se quiserem cumprir com a Politíca de CT do Google.
 

A GlobalSign e a Transparência de Certificado

A GlobalSign suporta a transparência de certificado e a política do Google CT para promover transparência e abertura no ecossistema da ePKI. Para mais informações, não hesite em enviar um ticket de suporte.  

Recursos

1. Projecto de transparência de certificados do Google 
2. Política de Transparência de Certificados do Google
3. Google formaliza a política de transparência de certificados para certificados não EV