Num mundo cada vez mais digital, as exigências com a segurança por parte dos internautas são cada vez maiores. E é nos sites com certificados digitais SSL – a tecnologia de segurança que activa o cadeado e/ou a barra verde no browser – que os utilizadores têm mais confiança, sobretudo quando lhes é pedido para que forneçam dados sensíveis, como dados pessoais ou dados do cartão de crédito.
Recentemente os browsers começaram a alertar os utilizadores para a insegurança dos sites que não usem SSL, o que originou uma corrida aos certificados digitais, sobretudo aos gratuitos, emitidos por autoridades certificadoras que se têm revelado incapazes de controlar os certificados emitidos.
A emissão de um certificado SSL gratuito ou de baixo custo, depende apenas de um processo simples ao qual é chamado de validação de domínio, no qual se confirma que quem está a solicitar o certificado tem acesso ao site ou à zona DNS do domínio em causa. O que tem acontecido é que há quem esteja a tentar passar-se por outra pessoa ou entidade, e isto está a escapar às autoridades que emitem certificados gratuitos. Uma falha que se pode explicar com a ausência de recursos destas autoridades para implementarem mecanismos de controlo de qualidade, mas que está a ser aproveitada por quem anda na Web com as piores intenções.
Como exemplo, soube-se recentemente que a Let’s Encrypt emitiu mais de 15 mil certificados digitais para domínios com o nome PayPal quando a empresa PayPal não usa certificados Let’s Encrypt. E estes certificados foram utilizados em ataques de phishing.
Situações como esta, que são cada vez mais recorrentes e começam a atingir proporções preocupantes, estão a minar a credibilidade destas autoridades certificadoras, o que pode levar a que percam a confiança dos browsers. Caso isso aconteça, todos os websites que tenham certificados por elas emitidos deixam de ser considerados de confiança.