Autoridade certificadora do Brasil confiada apenas pela Microsoft emite certificado para google.com

 (follow.agwa.name)
1 pontos por GN⁺ 2024-12-01 | 1 comentários | Compartilhar no WhatsApp
  • Andrew Ayeragwa14h
    • Uma autoridade certificadora do Brasil, confiada pela Microsoft, emitiu um certificado para google.com que provavelmente não foi autorizado. Isso permite interceptar o tráfego para o Google no Edge e em outros aplicativos do Windows, exceto Chrome e Firefox. A Microsoft conhece bem o histórico de problemas dessa autoridade certificadora: comunicou preocupações em 2021, e mais problemas foram levantados durante a discussão pública do CCADB em 2022. Espero que este incidente provoque mudanças. Os usuários do Windows merecem um serviço melhor.
  • Andrew Ayeragwa12h
    • Como exemplo da incompetência da autoridade certificadora, a presença de um assunto de certificado contendo um número de série de subsidiária do Google não significa que ele tenha sido aprovado pelo Google. A autoridade certificadora pode colocar o que quiser nesse campo, e esta autoridade não valida claramente o conteúdo que insere no certificado.
  • Andrew Ayeragwa10h
    • Proxies corporativos de ataque man-in-the-middle são muito nocivos.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-12-01
Comentários do Hacker News

  • Há preocupação com a suspensão da emissão de certificados SSL/TLS públicos pela ICP-Brasil

    • Houve um caso em que alguém contornou a proibição de emitir certificados públicos e ignorou as regras de CAA do Google
    • Há quem defenda que essa autoridade certificadora seja bloqueada nos sistemas operacionais da Microsoft

  • A ICP-Brasil é um órgão governamental responsável por atividades relacionadas a assinaturas digitais

    • Ela desempenha um papel importante em assinaturas de contratos digitais, acesso a declarações de imposto e outros serviços

  • Chrome e Firefox já não confiam mais nessa autoridade certificadora

    • Parece ainda pior que a Microsoft/Windows confie em uma autoridade certificadora na qual os outros principais navegadores não confiam

  • Há comentários apontando falhas no sistema

    • Essas falhas já eram percebidas desde 15 anos atrás, ao usar internet banking
    • Quando perguntaram ao banco quem era o emissor do certificado, o banco não soube responder
    • É um processo baseado em desconhecimento sobre segurança e confiança cega

  • Há a opinião de que "os usuários do Windows merecem algo melhor"

    • Menciona-se a falta de consideração da Microsoft com seus usuários e a possibilidade de ações judiciais

  • Há comentários de que falta transparência por parte da Microsoft ao confiar em autoridades certificadoras

    • Qualquer site razoável deveria usar certificados confiados pelos principais navegadores, como o Chrome

  • Há quem se pergunte se existe uma forma de usar o repositório de confiança do Chrome no Windows/Edge

  • Há comentários dizendo que gostariam de conhecer a lista de autoridades certificadoras ligadas a países

  • Há a opinião de que não está claro, na publicação original, se esse problema foi intencional ou um erro

  • Há comentários defendendo a necessidade de um sistema em que órgãos independentes forneçam avaliações de confiança sobre autoridades certificadoras, e os usuários possam considerar a opinião de várias entidades

  • Há a opinião de que o problema é que as empresas ficaram grandes demais