Proteção de Dados

Google Chrome e a mensagem “Sua conexão não é particular”

Passados quase 2 meses desde o lançamento da versão 58 do Google Chrome, lançada em 25 de abril desse ano, ainda há muita gente por aí encontrando a mensagem “Sua conexão não é particular” com o código de erro NET::ERR_CERT_COMMON_NAME_INVALID ao acessar sites com cadeados (sites protegidos pelo protocolo SSL ou TLS).

Mas o que essa mensagem realmente significa e como ela surgiu?

Bem, primeiramente é preciso saber o que acontece quando os navegadores web acessam um site protegido por SSL.

Certificado do servidor

Há uma série de verificações de segurança nos navegadores. Dentre elas, a mais importante para os propósitos dessa explicação é a verificação da validade do certificado apresentado pelo servidor.

Essa verificação tem o objetivo de determinar se o certificado apresentado pelo servidor que hospeda o site é válido. Pode-se verificar, por exemplo, se o certificado foi emitido por uma Autoridade Certificadora confiável, se sua assinatura está válida, se o propósito de uso do certificado está correto, se a URL para o qual o certificado foi emitido corresponde à URL do site, etc.

Vamos entender melhor: quando o navegador web acessa o servidor na URL https://www.meusite.com.br, “https” indica que deve ser utilizado o protocolo HTTPS e www.meusite.com.br indica o nome do servidor na internet.

Assim, quando o protocolo SSL é ativado, o navegador web inicialmente recebe o certificado digital do servidor. Em seguida, inicia o procedimento de sua validação. Como informado anteriormente, uma das etapas da verificação é determinar se a URL do servidor é a mesma para a qual o certificado foi emitido.

Por exemplo, o certificado do servidor do Google possui a informação da URL do servidor em dois locais: no campo Requerente e no campo de extensão Nome Alternativo para o Requerente:

Campo Requerente:

  • CN = *.google.com;
  • O = Google Inc;
  • L = Mountain View;
  • S = California;
  • C = US.

Campo Nome Alternativo para o Requerente:

  • Nome DNS=*.google.com;
  • Nome DNS=*.android.com.

Como se valida um certificado e um servidor

Agora que sabemos parte do que acontece quando acessamos um site protegido por SSL, entra em cena o documento RFC 2818. Este documento dá instruções sobre como os certificados digitais de servidores devem ser validados. Ele nada mais é do que um tipo de especificação pública para os fabricantes de software.

Na seção 3.1 da RFC 2818 é possível encontrar as duas formas de identificação da URL do servidor que podem ser utilizadas em um certificado digital:

  1. No componente Common Name (CN) incluída junto ao nome da entidade Requerente (campo Subject);
  2. Campo de extensão Nome Alternativo para o Requerente (ou Subject Alternative Names).

Common Name é utilizado há bastante tempo como a forma principal de identificação. Além disso, sua visualização é bem intuitiva.

Proposta de alternativa

No início desse ano começou um extenso debate sobre a remoção do suporte a validações baseadas somente no Common Name. No lugar dele se propunha adotar o Subject Alternative Names.

Podemos discutir se essa atualização está de acordo com todas as especificações necessárias, ou se realmente traz benefícios para a segurança. Entretanto esse assunto é mais abrangente e vamos deixar para uma próxima oportunidade. Nesse momento o importante é o Subject Alternative Names passou a ser obrigatório no Google Chrome.

Agora é preciso que os certificados de SSL possuam a extensão Subject Alternative Names também. Do contrário, as validações de segurança realizadas pelo Google Chrome vão resultar no alerta “Sua conexão não é particular” com o código de erro NET::ERR_CERT_COMMON_NAME_INVALID.

Assim, se você é responsável por servidores que apresentam esse tipo de problema com os certificados digitais, entre em contato com a Autoridade Certificadora de sua preferência e solicite um certificado contendo o campo Subject Alternative Names.

Caso isso não seja possível imediatamente, mas mesmo assim você quer se livrar dessa mensagem, é possível sobrescrever o comportamento das verificações de certificados através da opção de configuração EnableCommonNameFallbackForLocalAnchors.

Tome cuidado, pois como o próprio link menciona, essa opção não é recomendada. Essa opção de configuração valerá até a versão 65, sem data de lançamento prevista.

E-VAL Tecnologia, uma empresa do Grupo E-VAL

A E-VAL Tecnologia atua há mais de 12 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os seguimentos de instituições financeiras, educação e indústria.

Fale conosco, os especialistas da E-VAL Tecnologia terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.

Siga-nos nas redes sociais:
error

Gostou do blog? Compartilhe já :D