Será que os chamados certificados digitais são realmente seguros?
A Internet, de fato, facilitou o nosso dia-a-dia em tantos sentidos que mal sabemos por onde começar para listá-los. Podemos, por exemplo, contar com bancos online (uma facilidade que nos tirou das filas) e fazer transferências de documentos sigilosos. Mas, da mesma maneira que tudo isso é possível de maneira prática para nós, pode ser para outros com más intenções.
É claro que, assim como na vida real, a Internet precisa provar que você está seguro. Uma maneira de saber se isso ocorre mesmo é através dos certificados digitais. Eles funcionam como uma garantia de que você está realmente seguro, através de homologações e assinaturas criptografadas. (Confira aqui mais informações sobre o que é Assinatura Digital.)
Mas até que ponto essas assinaturas garantem que estamos realmente seguros enquanto navegamos na Internet?
A confiabilidade dos certificados digitais
As assinaturas digitais só podem ser aceitas quando são certificadas por alguma autoridade, que vai associar a uma chave e criar então o certificado digital. Entretanto, algumas pesquisas mostraram que é possível criar certificações digitais confiáveis pela maioria dos navegadores de Internet, usando uma estratégia chamada "ataque de colisão".
Os ataques de colisão conseguem falsificar os certificados que usam a tecnologia do algoritmo MD5 para criptografia. Desde 2007, os ataques de colisão avançaram de maneira a conseguirem criar virtualmente qualquer mensagem e enganar cada vez mais facilmente os navegadores.
Segundo a Netcraft (uma empresa que faz pesquisas de segurança na Internet), mais de 135 mil certificados usam essa tecnologia — isso corresponde a 14% de todos os certificados existentes.
Como saber se estou seguro?
Outro algoritmo, considerado mais seguro, é chamado de SHA-1. A maioria dos certificados já usa essa tecnologia e até é a adotada como padrão. Ou seja, não é mais autorizada a criação de certificados que usem o MD5, justamente devido aos ataques de colisão.
A Microsoft aconselha os usuários a ficarem de olho em todos os navegadores e conferirem se o site usa ao menos a Validação Extendida (ou, em inglês, Extended Validation). Essa validação pode ser percebida facilmente em navegadores mais novos, em que a barra de endereços fica verde. Isso também significa que a tecnologia utilizada é a SHA-1. Sendo assim, você pode ficar despreocupado.
Outra maneira de verificar o algoritmo usado é dando um duplo-clique no cadeado do site que afirma ser seguro. Depois, clique no botão Exibir certificado, vá a Detalhes e procure por Algoritmo da assinatura do certificado.
Você poderá ver qual a criptografia utilizada (se é MD5 ou SHA-1). Se for SHA-1, você já pode ficar despreocupado — ao menos por enquanto.
Bem, como é possível perceber, não podemos ficar nunca de olhos fechados para os sites que visitamos, pois a segurança sempre deve ser encarada como a maior prioridade. Mantenha seu navegador atualizado e fique de olho nos certificados, pois eles definitivamente não estão ali somente para enfeitar. E, lembre-se, o cadeado no canto não quer dizer que você está 100% seguro.
