As autoridades de certificação (CAs) têm sido a base da segurança online nas últimas duas décadas, e os certificados digitais continuam sendo um método confiável para garantir a segurança das transações e identidades. Em um nível fundamental, os certificados assinados pela CA são ferramentas valiosas que autenticam identidades online; permitir comunicação segura e criptografada em redes de outra forma inseguras; e confirme a integridade dos documentos assinados, verificando se eles não foram alterados por terceiros.
Mas o valor das CAs ultrapassa sua utilidade prática imediata. O que é um processo de verificação muito simples para o usuário é sustentado por uma estrutura de trabalho e uma cadeia de confiança que vão além de uma simples verificação de fatos.
O que as CAs fazem?
Os fornecedores de navegadores e sistemas operacionais confiam em CAs públicos (como SSL.com) para verificar:
- Controle de nomes de domínio
- A legitimidade das organizações e seus agentes
- Informações de contato, como endereços de email
As CAs emitem muitos tipos de certificados, todos baseados no X.509 padrão. Os certificados emitidos pela CA garantem que as transações do site sejam seguras, protegidas contra malware e autentiquem documentos e trocas de e-mails. O estabelecimento de identidades na Internet é feito através de uma variedade de processos, procedimentos e protocolos, todos garantidos pelas CAs. Por exemplo:
- SSL /TLS fornece um meio confiável e criptografado para acessar a Internet através de navegadores - que protegem informações e transações pessoais.
- Assinaturas digitais fornecer documentos digitais autenticados.
- Assinatura de código permite a distribuição segura de software na Internet.
- S/MIME permite email autenticado e criptografado.
- Autenticação de cliente certificados protegem o acesso a computadores e aplicativos.
Tudo isso é feito por meio de certificados ancorados ao certificado raiz de uma CA pública e vinculados por meio de um "cadeia de confiança"
Por que é tão difícil ser uma CA de confiança pública?
Conforme descrito acima, as CAs confiam nos sistemas operacionais e outros softwares para verificar as identidades de sites, empresas e indivíduos. Depois que uma CA pública é estabelecida e ganha a confiança de fornecedores de software e outros players, seus certificados digitais são uma maneira instantânea, segura e confiável de garantir que as informações não sejam fraudulentas. O processo para criar uma autoridade de certificação raiz autoassinada é relativamente simples - eles honestamente podem ser criados por qualquer pessoa com software amplamente disponível, de baixo custo ou sem custo. No entanto, realmente não existem muitas autoridades de certificação públicas. De fato, atualmente existem apenas 52 membros da CA do CA / Browser Forum, e a grande maioria de SSL /TLS certificados vêm de um número menor do que isso. Então, por que nem todos estão fazendo isso?
A razão pela qual as autoridades de certificação públicas são um clube tão exclusivo é que se tornar uma CA pública e ganhar e manter a confiança universal para mantê-la funcional é muito trabalhoso. A inclusão em todos os navegadores e sistemas operacionais é perfeita para o usuário, mas exige anos de trabalho braçal nos bastidores. Quando você compra um computador novo ou instala software como um navegador da Web ou cliente de email, uma lista de certificados CA raiz confiáveis já está incluída. Mas ser adicionado a essa lista não é algo que simplesmente acontece da noite para o dia, e ficar lá também é um desafio.
Para permanecer no negócio de venda de certificados, uma CA deve atender aos requisitos dos fornecedores de software, que estão tentando garantir uma experiência segura e confiável para seus usuários. Cada navegador principal e fornecedor de sistema operacional tem seu próprio conjunto de critérios que os CAs devem atender e acompanhar quando as alterações são feitas. O custo de não fazer isso é alto: se uma CA não for incluída em qualquer um dos programas raiz, seja devido a uma quebra de confiança ou devido a uma falha em se manter atualizado com as mudanças de política, seria um desastre para o todo o negócio. Nenhuma empresa está procurando um certificado SSL de site que funcione com o Safari, mas não com o Chrome. Poucos produtores de software gostariam de um certificado de assinatura de código no qual o Windows não confia.
Além de manter esse equilíbrio delicado com navegadores, sistemas operacionais e outros fornecedores de software, as Autoridades de Certificação estão sujeitas a auditorias externas rigorosas. Vê esses emblemas no final deste mesmo site? Cada um desses selos representa uma auditoria, e cada uma dessas auditorias é feita anualmente. Caso qualquer CA falhe em uma auditoria (ou não atenda aos requisitos do programa raiz), os certificados da CA podem ser excluídos dos armazenamentos raiz cruciais, o que os tornaria inúteis.
Os membros da CA do Fórum da CA / Navegador (um consórcio de CAs e fornecedores de PKI-Software habilitado, como navegadores e sistemas operacionais) são ativos no desenvolvimento e aplicação de dezenas de padrões da indústria e definição do Fórum CA / B Requisitos de linha de base. Os membros participam de organizações educacionais e de pesquisa e colaboram com as partes interessadas para fortalecer a segurança da Internet, muitas vezes assumindo a liderança na proposição e adoção de novos padrões. CAs têm o maior interesse em garantir que o SSL /TLS sistema está funcionando e sua reputação é sólida, o que necessariamente significa que eles tomam uma atitude proativa e agressiva em relação à segurança de seus sistemas e dos sistemas com os quais trabalham.
Além de aderir a esses padrões, as autoridades de certificação são obrigadas a manter e disponibilizar listas de transparência de certificados (registros públicos de todos os certificados emitidos), bem como listas de revogação de certificados (CRLs) e respondedores de OCSP, que acompanham os certificados revogados. É de suma importância garantir que todos os certificados sejam contabilizados e que a confiança que sustenta os certificados nunca seja quebrada.
Como escolher uma CA
Portanto, conhecendo todo o trabalho necessário para manter e executar uma autoridade de certificação pública, como determinar qual CA é melhor para suas necessidades?
Embora agora haja opções de CA de baixo custo (ou mesmo gratuitas), é importante saber o que está sendo negociado por esse custo reduzido. Em geral, as CAs gratuitas não oferecem os mesmos níveis de validação que as CAs comerciais e não oferecem nada além de SSL /TLS certificados. Por exemplo, eles podem mostrar que um candidato a um site SSL /TLS O certificado controla esse domínio (Validação de Domínio), mas eles não tomam a etapa extra de afirmar quem é esse proprietário. Dependendo do caso de uso pretendido, DV pode ser adequado (todas as CAs comerciais, incluindo SSL.com, também oferecem), mas se você precisar de um certificado de assinatura de código, assinaturas digitais para Adobe PDFs ou informações validadas sobre seu negócio incluídas em seu certificado do site, você precisa ir a uma CA comercial.
Para obter mais informações sobre como escolher uma CA confiável, consulte nossa Guia de Boas Práticas.
