Um de nosso leitores nos sugeriu essa pauta bastante interessante, envolvendo mais uma vez problemas de segurança, o Google advertiu em seu blog que vários de seus domínios estão emitindo certificado digitais falsos. Com essa emissão de certificados não autorizados poderia acarretar numa interceptação do trafégo de dados, o famoso ataque man -in-the-middle.
O Google relata que esses certificados foram emitidos por uma autoridade de certificação intermediária chamada CNNIC, proprietária da MCS Holdings que fica no Egito, a CNNIC que é chinesa é praticamente um “laranja para a MCS Holdings. Esses certificados de segurança da camada de transporte que são emitidos de forma ilícita são confiavéis por todos os principais sistemas operacionais e navegadores. Porém graças a pinagem de chave pública presente no Google Chrome e Firefox foram impedidos de ativar os certificados.
Com essa emisão não autorizada, a CNNIC junto com a MSC Holdings violaram as regras pré-estabelecidas pelas autoridades de certificação e as desenvolvedores dos browsers. Sob nenhuma circustância esses certificados poderiam ser emitidos por uma empresa dessas, apenas as legalmente credenciadas pelo domínio.
Gaças a pinagem de chave pública os serviços online podem determinar quais autoridades de certiicação irão emitir os certificado válidos para os seus sites e rejeitar os que estão fora da lista.
A MCS Holdings disse que só iria emitir os certificados para os serviços que estavam cadastrados, seguindo a cartilha de regras para a emissão desses certificados, mas de acordo com Adam Langley, engenheiro de segurança do Google, a MCS em vez de manter a chave privada, adequada num módulo de segurança instalou um proxy mand-in-the-midle.
Langley declara que os usuários do Google Chrome não precisam tomar nenhuma ação porque estão protegidos pelas atualizações CRLSet. Já a Mozilla disse que a partir do Fireox 37 os certificados emitidos pela MCS serão revogados.
Em posse deses certiicados intermediários desses malandros da MCS junto com a CNNIC seria permitido que o titular dos certificados (no caso as empresas envolvidas) pudessem descriptografar e monitorar a comunicação dentro da sua rede entre o usuários e qualquer site, sem nenhum alarde do navegador. E poderia muito bem direcionar os usuários para sites que aparentemente são seguros, mas que estão sendo interceptados. Parafraseando o Boris Casoy, isso é uma vergonha!
Caso queria acompanhar o post completo do engenheiro do Google, clique aqui