dscn38311

Cuidados com o certificado digital

porshe

Porquê devemos ter critérios no momento de escolher a certificadora? É comum a aquisição do certificado SSL na combinação marca e preço do certificado. Assim deixando de lado critérios importantes como, quem é a certificadora? Como ela mantém seu negócio? Oque mais ela vende? Possui registros de incidentes em sua estrutura? Qual a política de uso de cada tipo de certificado? O certificado barato, mesmo em quantidade maior, pode se tornar caro para minha organização? O que é o valor de garantia? Alguém já resgatou esse valor? Eles certificam apenas o domínio ou a empresa também? Como isso é feito?

Poucos gestores fazem essas perguntas, deixando assim espaço para os certificados mais robustos, de maior investimento.

Em 2011 houve uma certificadora que alguém com IP supostamente do Irã acessou o gerenciador de emissão de certificados, através do usuário e senha dessa certificadora, sem requisição de empresas, emitiu certificados para Google, Yahoo, Live, Skype e Mozilla e um chamado “Global Trustee”. Uma vez que um brecha é explorada na segurança, perdemos a reputação, isso dificilmente é um ponto observado na aquisição.

Outras Certificadoras, vivem de registro de domínios e hospedagem, permitindo você criar processos, passos para depois requisitar certificados e utilizar longe das boas práticas, chegam a ponto de validar comunicação smtp de servidores SPAMMERS dentro do seu ambiente/host dificultando rastreabilidade. Muitas dessas empresas oferecem opção apenas para validação de domínio, o que facilita o uso mal intencionado de uma aplicação, pois não existe uma empresa responsável nessa aplicação, algumas dessas certificadoras oferem os 3 tipos de valição, apenas do domínio, da organização e a extendida, onde é necessário a validação dos dados de um Advogado e do Presidente/Responsável organização.

Já as tradicionais que restam para escolha, não praticam a validação de domínio pelas razões acimas, para reduzir riscos na reputação, possuem “bunkers” em outros continentes, com suporte técnico eficiente; justificam o valor de investimento desde a hora da aquisição por políticas de usos, que oferecem gerenciador com segundo fator de autenticação e reciclagem de licencas dos certificados adquiridos para reduzir valor de investimento, tornando autônomo o processo após a empresa ser validada.

Essas empresas geralmente atuam com demais produtos na área de identificação segura, tráfego, fraudes e armazenamento seguro como é o caso da ENTRUST, a primeira compania a vender certificados e solução de PKI no mundo, em 1994.

Compartilhe!