Na criptografia, uma autoridade de certificação é uma entidade confiável que emite certificados eletrônicos, o que permite assegurar identidades na internet. Hierárquicamente, existem autoridades superiores – ou de raiz – que emitem diretamente os certificados, e autoridades intermediárias, cujos certificados são emitidos indiretamente por autoridades de certificação superiores.
De acordo com o site Engadget, apesar de os certificados intermediários serem tão importantes quanto os superiores, eles podem ser emitidos por algumas entidades sempre que desejarem, sem nenhum critério, fazendo com que os computadores confiem imediatamente neles. Isso pode permitir que empresas espionem usuários sem que ele saiba.
Segundo pesquisadores de segurança, companhias poderiam utilizar os certificados para identificar todo o tráfego na web do usuário e decifrá-lo em qualquer local – não apenas em redes específicas. Na prática, isso significa que pessoas ou entidades mal intencionadas seriam capaz de roubar dados de sites considerados seguros e ‘interceptar’ toda a atividade das pessoas.
Filippo Valsorda, da equipe de segurança da CloudFlare, da Symantec, explica que milhares de registos já foram introduzidos assim. “Eles são tão poderosos como as autoridades de raiz, mas não há nenhuma lista completa deles, porque eles podem ser emitidos à vontade, e seu sistema vai confiar neles à primeira vista”, afirma.
Via Engadget