Proteção de Dados

6 problemas gerados pelo mal gerenciamento do ciclo de vida dos certificados digitais

Recentemente em nosso blog falamos sobre o grande desafio de gerenciamento do ciclo de vida dos certificados digitais. Assim como o forte impacto gerado quando ocorre a perda dos certificados digitais junto com o par de chaves.

Abordamos vários aspectos importantes que devem ser prioritários para as organizações, principalmente aquelas que detêm muitas chaves de criptografia.

Vamos seguindo ainda este importante tema. Agora falaremos sobre os efeitos de não aplicar as boas práticas de gerenciamento do ciclo de vida dos certificados digitais.

Entenda como acontece um ciclo de vida completo de um certificado digital até os problemas de gerenciar múltiplos certificados.

Relembrando alguns conceitos fundamentais do gerenciamento do ciclo de vida dos certificados digitais

Um certificado digital, como você sabe, nada mais é que um “passaporte” eletrônico. Ele permite que uma pessoa, computador ou organização troque informações de maneira segura através da Internet. Para isso, é utilizada uma infraestrutura de chaves públicas (PKI).

Assim como um documento, a exemplo do passaporte, o certificado digital fornece informações de identificação, é resistente a falsificações e pode ser verificado. Afinal, são emitidos por um órgão certificador, conhecido como Autoridade Certificadora ou AC. Existem vários desses órgãos espalhados pelo país, além disso, eles são confiáveis e seguros.

E após um processo de validação, os sistemas operacionais e navegadores mantêm listas destes certificados digitais para que possam ser verificados facilmente sempre que necessário. Além disso, é importante observar também constantemente as autoridades que emitiram e assinaram.

Dessa forma, atendemos a vários requisitos de segurança e de conformidade regulamentar. Diminuindo assim incidentes de segurança, de roubo e de exposição de dados.

Logo após termos refrescado a memória sobre a importância de usar um certificado digital, podemos até pensar que gerenciamento do ciclo de vida do certificado digital é algo simples, principalmente quando estamos falando de poucos certificados.

Porém, a compra de certificados digitais pode ser um processo complexo. Principalmente quando falamos de certificados digitais de chave criptográfica.

É preciso considerar vários aspectos quanto ao processo de criação, armazenamento e uso dos certificados digitais.

Lembramos mais uma vez o fato de que temos um “passaporte”. E também que ele servirá de porta de entrada para acesso a dados sensíveis da organização, funcionários e clientes.

O gerenciamento do ciclo de vida dos certificados digitais na prática

Basicamente, o ciclo de vida de um certificado digital passa pelas seguintes etapas:

Etapa de requisição

Nesse momento é feita a requisição para uma autoridade certificadora, seja ela interna ou externa. A partir daí o certificado digital é gerado.

O processo de requisição, em suma, consiste na apresentação dos documentos necessários em uma entidade de registro (AR) credenciada. Ela será responsável pela validação e emissão dos certificados digitais.

De forma geral os passos deste processo são os seguintes:

  1. A geração do par de chaves;
  2. A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);
  3. A solicitação do certificado digital é enviada à autoridade certificadora através de um arquivo CSR;
  4. Após o recebimento do arquivo do certificado digital, ocorre a associação do certificado digital recebido com a chave privada RSA gerada no primeiro passo.

Vale destacar que estamos apresentando de forma simplificada o gerenciamento do ciclo de vida dos certificados digitais. Entretanto há um processo de assinatura que envolve criptografia com chaves públicas e privadas garantindo a segurança dos certificados digitais.

Etapa do uso

Aqui está o propósito principal dos certificados digitais. Nesse ponto definimos onde eles são usados e gerenciados, sendo necessária a utilização de dispositivos, caso sejam armazenados em hardware. Ou ainda, caso sejam utilizados arquivos de configuração que precisam de um cuidado especial nas situações em que estejam armazenados em software.

O mais importante nesse processo de aquisição é ter a certeza das necessidades da aplicação que utilizará o certificado digital. Além disso, também se deve saber quais as exigências da AC para a emissão do certificado digital.

Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor nas suas necessidades e que facilite o seu trabalho, pois existem diversos sistemas que podem auxiliá-lo em todo o processo de geração dos certificados digitais.

Certificado Digital na mão, o que pode dar errado?

Evoluímos para um processo que hoje em dia é fácil obter um certificado digital, o procedimento é simples, rápido e seguro.

Mas chegamos ao ponto mais importante de nosso artigo, e para as organizações com uma alta demanda de chaves criptográficas, quais são as questões mais críticas para realizar o gerenciamento do ciclo de vida dos certificados digitais?

6 problemas gerados pelo gerenciamento do ciclo de vida dos certificados digitais

A fim de realizar o gerenciamento do ciclo de vida dos certificados digitais de forma eficiente surgem questões que podem se tornar grandes problemas para as empresas:

  1. Quem tem a senha que protege o certificado digital?
  2. Quem verifica quando o certificado digital irá expirar?
  3. Como gerenciar múltiplos certificados? Imagine por exemplo como será gerenciar 30 ou mais certificados digitais.
  4. Quais as políticas de segurança da informação que direcionam a organização para que as chaves dos certificados digitais não vazem, ou sejam comprometidas?
  5. Como está definida a política de segurança da informação para o gerenciamento do ciclo de vida dos certificados digitais?
  6. Em caso de vazamento de informações as chaves estão seguras?

Para se ter uma ideia do impacto do ciclo de vida dos certificados digitais vejamos como exemplo a perda da validade.

O certificado digital pode perder a validade por dois motivos:

  • Perda da validade pelo vencimento do certificado digital:
    Quando o certificado digital chega ao seu fim de vida ou seja, a data de expiração.

Geralmente os certificados digitais têm de 1 a 3 anos de validade que são determinados pelas ACs ou por organizações às quais as ACs se submetem. No caso do Brasil o ITI regulamenta pela ICP-Brasil.

  • Perda da validade pela revogação do certificado digital:
    Quando se perde um certificado digital, ou ele é roubado, ou qualquer outro motivo que comprometa a integridade do certificado digital o mesmo deve ser revogado para que todos saibam que ele não é mais válido.

Momento de pensar sobre os certificados digitais

Agora vamos fazer uma provocação. Pense nos seis pontos que foram descritos acima e que identificamos como potenciais problemas na gestão do ciclo de vida dos certificados digitais.

Além disso, pense nesse momento em como responder cada pergunta que foi apresentada e vá além. Imagine os desafios e riscos para uma empresa que trabalha com muitos certificados digitais.

Por fim, pare para pensar nos impactos financeiros e de credibilidade que podem ocorrer se um gestor e seu time de TI não estiverem perfeitamente alinhados em seus processos e políticas de segurança.

Fica aqui o ponto de reflexão e o convite para continuar acompanhando nosso blog, assim como nosso perfil do Linkedin. Essa é uma discussão extensa e um grande desafio para as empresas. Tem alguma dúvida sobre gerenciamento do ciclo de vida dos certificados digitais? Deixe seu comentário.

E-VAL Tecnologia, uma empresa do Grupo E-VAL

A E-VAL Tecnologia atua há mais de 14 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como, SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os seguimentos de instituições financeiras, educação e indústria.

Fale conosco, os especialistas da E-VAL Tecnologia terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.

Siga-nos nas redes sociais:
error

Gostou do blog? Compartilhe já :D