Google não vai mais aceitar certificados de segurança emitidos pela CNNIC

Por Redação | 02 de Abril de 2015 às 13h20

Centenas de sites chineses, sejam eles de comércio eletrônico, setor financeiro ou qualquer outro segmento que exija encriptação HTTPS, estão prestes a serem considerados inseguros pelo Google. Isso vai acontecer quando, em uma atualização de sistemas do Chrome, os certificados de segurança emitidos pela organização asiática CNNIC deixarem de serem aceitos como prova de proteção de um domínio específico.

Segundo a empresa, as mudanças acontecerão em uma data não especificada e, até lá, os domínios afetados terão tempo para buscar certificação com outras associações que continuam na “lista branca” do Google. Depois, porém, o Chrome passará a exibir avisos de segurança e restringir o acesso dos usuários aos domínios. Em sua maioria, estamos falando de sites novos, com final .cn e dependentes de segurança HTTPS para realizar as comunicações entre os servidores e os dispositivos de quem acessa.

O problema começou na última semana, quando o Google revelou a descoberta de uma série de certificados falsos emitidos por uma empresa egípcia chamada MCS Holdings, que trabalhava em nome da CNNIC. A companhia terceirizada teria utilizado protocolos de encriptação pouco seguros para emitir os documentos e os instalado de maneira precária, colocando em risco a segurança de quem acessava os domínios.

Inicialmente, o Google criticou publicamente a atitude da CNNIC, um dos maiores nomes asiáticos do ramo, justamente por ter delegado funções tão importantes a um parceiro despreparado. Agora, vem a decisão de banir totalmente os certificados emitidos pela organização, uma decisão que foi taxada por ela como inexplicável. Para o representante da associação, essa é uma escolha difícil de entender e aceitar, por ser totalmente desmedida e acabar por afetar, também, os utilizadores de outros navegadores.

Além disso, especialistas em segurança já taxam a decisão do Google como radical demais, o que pode ser uma amostra das dificuldades na negociação entre as duas entidades. Uma solução mais adequada, e que reduziria o dano apenas aos domínios realmente inseguros, seria banir os certificados da MCS Holdings, ou então, impor uma data de validade anterior à da emissão de tais documentos, sem prejudicar aqueles que estão com tudo nos conformes.

É justamente por isso que a Mozilla, por exemplo, preferiu buscar junto à comunidade uma solução que seja a melhor para todos, em vez de tomar uma atitude que foi chamada de arbitrária. Usuários de Firefox também acabaram sendo afetados pelos certificados falsos e a desenvolvedora do navegador já disse que vai tomar atitudes, mas não revelou quais nem quando. O browser da raposa e o Chrome parecem ser os únicos afetados pelo problema, já que o Google não falou sobre a presença deles no Safari, Internet Explorer ou Opera.

A exclusão da CNNIC, porém, não é definitiva. Segundo o Google, uma vez que a organização estiver novamente de acordo com os padrões exigidos pela companhia, ela poderá voltar a se candidatar para entrar na lista branca do Chrome.

Fonte: Ars Technica

Siga o Canaltech no Twitter!

Não perca nenhuma novidade do mundo da tecnologia.