Pesquisadores da Mozilla acusam a empresa chinesa WoSign de distribuir certificados de segurança para sites que não deveriam obtê-lo e de falsificar a data de emissão para contornar protocolos de segurança. A companhia da China trabalha como autoridade de certificação, ou seja, pode emitir credenciais a páginas da web, para que os usuários saibam que o endereço não oferece riscos.
Ao visitar um site seguro, é possível visualizar um cadeado de segurança ao lado do endereço, o que significa que os dados estão em segurança e que não podem ser interceptados. A ausência do certificado, em teoria, significa que há risco de espionagem.
Se um criminoso conseguir o acesso a um certificado válido, ele poderá roubar os dados antes de eles chegarem ao servidor. Foi isso o que Stephen Schrauger, administrador de sistemas na Universidade Central da Flórida, conseguiu. Ele obteve um certificado SSL – assinado pela WoSign- do domínio Github.com. O problema é que qualquer pessoa com um subdomínio pode obter um certificado válido assinado pela chinesa, podendo acessar o domínio completo.
De acordo com a Mozilla, a WoSign também tem oferecido certificados fracos de segurança, o que as maiores empresas de internet concordaram em não fazer mais. O certificado SHA-1 está, aos poucos, sendo substituído pelo SHA-256. Para garantir a adoção do novo certificado, a Mozilla proibiu a emissão de antigos a partir de 1º de janeiro de 2016. Em vez de ofecerer o novo cetificado, a companhia da China estaria alterando as datas.
“Acreditamos que o comportamento documentado aqui seria inaceitável para qualquer autoridade de certificação, independentemente da sua nacionalidade, modelo de negócios ou a posição no mercado”, afirmam os pesquisadores.
A Mozilla declara ainda que a WoSign adquiriu uma autoridade de certificação rival, a Red Hat, sem avisar, o que seria obrigada a fazer. Por todos esses motivos, a empresa deve ser proibida por um ano no Firefox. A medida deve ser seguida também por outros navegadores.
Via BusinessInsider