Com o aumento dos dispositivos conectados, principalmente baseados em Internet das Coisas (IoT), cresce também a quantidade de ataques maliciosos, com o objetivo de roubar dados, cujo principal resultado para as organizações é a perda de receitas, reputação e confiança por parte de clientes, parceiros e fornecedores. Muitos desses ataques envolvem controles criptográficos fracos, principalmente ligados à inadequada gestão de certificados digitais. Em vista disso, neste artigo, apresentamos o que são certificados digitais e os conceitos associados, assim como a importância da sua gestão e proteção adequadas no ambiente organizacional.

Certificados digitais, certificados X.509 ou SSL/TLS são a base da identidade de máquina, como aplicações, servidores, endpoints, containeres ou qualquer dispositivo que requer autenticação. 

O que é um certificado digital?

É um documento eletrônico que associa a identidade de pessoas, organizações, dispositivos ou aplicações à chave pública ligada a eles. Ele é emitido por uma organização, que atua como Autoridade Certificadora (CA), reconhecida como “confiável” pelas partes envolvidas, e normalmente utilizada para as operações de criptografia de chave pública. Esta CA emite o certificado digital em resposta a uma requisição depois de verificar a identidade do requerente. Cada certificado é associado a um período de validade. Desta forma, os certificados podem ser revogados caso ultrapassem a data de expiração.

Outras condições que podem resultar na revogação de um certificado digital são: o vazamento de sua chave privada, além de qualquer mudança na relação entre o requerente e sua chave pública, por exemplo, a mudança de endereço.

No processo de criptografia assimétrica, cada sujeito é associado a um par de chaves, uma pública e outra privada. Qualquer pessoa pode assinar um documento com sua chave privada, e qualquer um com a intenção de verificar a autenticidade de um documento pode fazê-lo utilizando a chave pública do signatário, disponível através da CA.

Esses certificados digitais ou identidade de máquina são críticos à medida que permitem estabelecer confiança no ambiente digital. Sem eles, não seria possível afirmar que senhasegura.com.br é, por exemplo, o website do senhasegura ou se alguma aplicação é confiável. Desta maneira, certificados digitais são essenciais para construir a confiança digital, e nos permitir utilizar todas as vantagens oferecidas pelo mundo digital, como internet banking, websites, comércio eletrônico, jogos e até mídias sociais, e atuam como um componente crítico da Infraestrutura de Chave Pública (Public Key Infrastructure) ou ICP.

Qual o modelo adotado pelo Brasil?

O modelo adotado foi o de certificação com raiz única, no qual, a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, atua através do Instituto Nacional de Tecnologia da Informação ou ITI. O ITI atua como uma cadeia hierárquica de confiança, viabilizando a emissão de certificados digitais para identificação eletrônica das entidades envolvidas. Além disto, o ITI também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.

Em um contexto de aumento de dispositivos como smartphones, tablets e qualquer dispositivo conectado, inclusive carros inteligentes, é necessário implementar meios de protegê-los da ação de agentes maliciosos. Desta maneira, a utilização de certificados digitais é um meio eficaz de garantir a identidade e autenticação destes dispositivos no ambiente. No entanto, com o aumento considerável dos certificados digitais associados a esses dispositivos, é necessário ter em mente a melhor forma de gerenciá-los. Vale lembrar que, devido à alta quantidade destes certificados, é difícil realizar um gerenciamento de forma manual utilizando, por exemplo, planilhas. Caso o responsável pela gestão dos certificados digitais se esqueça de renovar um único certificado em um dispositivo ou servidor ou de revogar algum deles, é possível derrubar a rede corporativa inteira e afetar a continuidade das operações críticas da organização. 

Considerando a relevância dos certificados digitais, criminosos cibernéticos e até hackers patrocinados por governos têm mostrado grande interesse nas ICPs, com o objetivo de utilizar certificados digitais para conduzir atividades ilegais, como espionagem cibernética e infecção por malware.

Ainda assim, a gestão de certificados digitais é vista como algo simples, levando em conta que eles expiram cada 1 a 5 anos. O problema, neste caso, é que essa perspectiva dá margem para erros humanos. Se o responsável pela gestão dos certificados digitais entra de férias ou é desligado da organização, a continuidade do negócio pode estar em jogo. 

Desta maneira, ao implementar processos para a gestão adequada de certificados digitais, é possível obter total visibilidade de todos os certificados instalados na infraestrutura, identificando os mais críticos ao negócio para, desta forma, assegurar que estejam ativos e válidos, além de não estarem comprometidos.  

Como garantir a melhor gestão dos certificados digitais?

Assim, uma das formas de garantir a gestão adequada dos certificados digitais no ambiente é a  implementação de uma solução de Gestão de Certificados, como o senhasegura Certificate Management. 

Sendo totalmente integrada à plataforma de segurança senhasegura, o senhasegura Certificate Management permite o gerenciamento centralizado de todo o ciclo de vida de certificados digitais dentro da organização, desde a descoberta por meio de uma varredura automática em sites, diretórios e servidores web, até a renovação automatizada do certificado pelas CAs externas ou internas.

A reconhecida função Scan Discovery da plataforma de segurança senhasegura permite a descoberta de certificados no ambiente de forma automatizada e recorrente. A partir do envio automático de alertas em períodos configuráveis para equipes específicas, é possível ter controle total das datas de validade dos certificados gerenciados pelo senhasegura Certificate Management. Ademais, a solução permite a renovação e publicação automáticas dos certificados. É possível configurar automaticamente a renovação periódica, evitando perda de datas de expiração. Finalmente, os dashboards do senhasegura Certificate Management permitem a visualização gráfica do status de todos os certificados, bem como identificar, por exemplo, quais utilizam criptografias em não conformidade com as políticas de segurança da organização.

Desta maneira, o senhasegura Certificate Management permite reduzir indisponibilidades por expiração de certificados ou por erros humanos na publicação, além de automatizar a gestão do ciclo de vida do certificado. As APIs do senhasegura Certificate Management permitem completa integração com outras soluções dentro da organização, assim como o aumento do nível de segurança das aplicações com certificados seguros, respeitando os pré-requisitos e políticas de segurança da organização.