Certificados SSL falsos s√£o emitidos pela Symantec

A empresa de seguran√ßa Symantec foi for√ßada a demitir tr√™s de seus funcion√°rios, ap√≥s o que os t√©cnicos do Google descobriram certificados SSL falsos emitidos em nome da empresa e usados ‚Äč‚Äčpor fraudadores.certificados SSL SymantecOs certificados SSL s√£o uma tecnologia atrav√©s da qual navegadores e provedores de servi√ßos da Web podem criar conex√Ķes seguras e canais de comunica√ß√£o autorizados.

Eles s√£o usados ‚Äč‚Äčbilh√Ķes de vezes por dia e se tornaram uma pr√°tica comum para garantir a comunica√ß√£o entre usu√°rios e bancos, lojas virtuais, redes sociais e para qualquer site que queira proteger seus usu√°rios e seus dados privados de hackers e servi√ßos governamentais n√£o convidados. .

A Autoridade de Certificação (CA) é responsável por emitir esses certificados. Existem muitas CAs em todo o mundo e todas são reconhecidas por fabricantes respeitáveis. Eles emitem apenas seus certificados para clientes confiáveis.

Um deles é a CA e a Symantec, uma empresa de segurança cibernética conhecida principalmente pelo antivírus Norton.

Na sexta-feira, 18 de setembro, os técnicos do Google que trabalham no Certificate Transparency, um serviço que verifica se há certificados SSL falsos circulando na Internet, descobriram vários certificados SSL do Google.com falsos emitidos pela Symantec. Esses certificados perigosos também foram observados pelos técnicos do DigiCert.

O pior de tudo √© que esses certificados foram emitidos com o r√≥tulo “Valida√ß√£o estendida”, o que significa que a Symantec supostamente executou verifica√ß√Ķes adicionais. Essas informa√ß√Ķes n√£o foram confirmadas oficialmente pelo Google ou pela Symantec nos press releases que eles emitiram.

O Google j√° colocou esses certificados na lista negra. Desde o vazamento, o Google e a Symantec n√£o acreditam que possam ser usados ‚Äč‚Äčem ataques reais.

Se os hackers tivessem mais tempo, o uso desses certificados SSL falsos poderia realizar ataques MITM (man-in-the-middle) para roubar comunica√ß√Ķes seguras.

Note-se que isso aconteceu em 2011, quando a empresa holandesa CA DigiNotar foi violada e os hackers conseguiram emitir centenas de certificados falsos. Alguns desses certificados SSL (tamb√©m emitidos em nome do Google) foram usados ‚Äč‚Äčpelo governo iraniano para espionar dissidentes pol√≠ticos.