Campos da unidade organizacional a serem removidos dos certificados SSL

Atualizado em por Dionisie Gitlan

Desde a introdução do SSL pela Netscape em 1994, os certificados digitais cresceram junto com toda a Web. Por meio de tentativas e erros, inovações e ajustes, os certificados SSL têm sido constantemente aperfeiçoados para atender às mais rigorosas necessidades de segurança.

A redução da validade do SSL para apenas um ano e a remoção da barra de endereço verde dos certificados de validação estendida são apenas algumas das modificações recentes que o CA/Browser Forum implementou para se manter à frente das ameaças cibernéticas e tornar a criptografia digital mais previsível. No mundo das autoridades de certificação, a mudança é a única constante.

O campo Unidade organizacional (OU) não é algo que você associaria diretamente à segurança SSL, especialmente porque ele faz parte do processo de pedido de SSL desde o início. Mas agora, o tempo do campo da UO está chegando ao fim, e os CAs o removerão até o final de agosto de 2022. Então, qual é o motivo por trás da remoção de um campo aparentemente benigno? Para ter uma visão completa, vamos descobrir qual era o objetivo inicial do campo da UO.

Os campos da unidade organizacional – uma breve visão geral

Sempre que solicitar um certificado SSL, você deverá gerar uma Solicitação de Assinatura de Certificado (CSR) e preencher os campos com seus dados de contato como parte do processo de validação. O CSR inclui detalhes sobre sua empresa, país de residência e o nome de domínio que você deseja proteger. Entre os campos que você deve preencher está também o campo Unidade organizacional. Você pode inserir praticamente qualquer dado que quiser, e é exatamente isso que o torna vago e enganoso.

A intenção original do campo OU era atuar como um campo de espaço reservado onde as empresas pudessem colocar dados relevantes sobre o certificado e como ele deveria ser usado. Uma prática comum é incluir dados de referência para faturamento, de modo que o departamento financeiro saiba quem comprou o certificado.

Se você seguisse esse exemplo, escreveria algo como “TI” ou “Segurança” no campo OU. Mas nada o impede de inserir o que quiser, desde nomes de países até personagens de desenhos animados. Se a sua empresa tem sede nos EUA, mas uma filial internacional gerencia os certificados, você poderia escrever algo como “France” ou “overseas”. E é aqui que a ambiguidade do campo OU pode confundir os usuários.

Digamos que um dos clientes de sua empresa seja a Delta Air Lines. Se você o incluísse no campo OU, alguns usuários pensariam que o certificado pertence à Delta Air Lines e não à sua organização. E, embora esse possa parecer um exemplo extremo, a natureza opcional do campo OU o torna propenso a confusão e má interpretação, coisas inaceitáveis na segurança cibernética moderna.

Possíveis brechas de segurança

Os certificados SSL são agora um requisito para todos os tipos de sites. As empresas implementam centenas de certificados para atender às suas necessidades de segurança, mas nem todos seguem as melhores práticas de gerenciamento de SSL. De acordo com um estudo da Detectify Labs relatório há perigos na implantação desses certificados que “podem fazer com que os dados da empresa sejam expostos ou comprometidos por agentes mal-intencionados”.

A Detectify analisou mais de 900 milhões de certificados SSL e enfatizou os principais riscos associados ao SSL. No contexto do campo da UO, a seguinte conclusão é relevante:

“Os analistas descobriram que a maioria esmagadora dos domínios recém-certificados recebeu nomes descritivos. Isso pode parecer inofensivo, mas na verdade pode ser um risco para as informações comerciais.”

Se o certificado for emitido em um estágio de desenvolvimento, os concorrentes poderão ter tempo suficiente para prejudicar novas empresas ou produtos antes que eles cheguem ao mercado. Mas mesmo que você tenha escolhido cadeias de caracteres aleatórias em vez de produtos descritivos, um pouco de informação aleatória no campo OU enviado durante o processo de pedido poderia revelar alguns de seus segredos.

Hora de dizer adeus

Com as ameaças cibernéticas aumentando a cada dia, as ACs estão trabalhando horas extras para ajustar e fortalecer os protocolos de segurança que regem os certificados SSL. À medida que conceitos e elementos antigos se tornam obsoletos, a abordagem “menos é mais” é uma maneira eficiente de eliminar a confusão e as possíveis brechas a serem exploradas pelos hackers.

No final dos anos 90 e início dos anos 90, apenas algumas CAs estavam no mercado, e o número de empresas que solicitavam SSL era significativamente menor. A intenção original era que as poucas CAs existentes fossem verificadas manualmente pelos navegadores, resultando em maior confiança de que as CAs estavam fazendo tudo da forma mais segura possível. Porém, com o surgimento dos certificados SSL, essa tarefa se tornou cada vez mais difícil.

O problema com o campo OU é que as autoridades de certificação devem verificar e afirmar a identidade do assunto do certificado dentro do nome do assunto do certificado. O campo da UO, por outro lado, não é uma descrição precisa, embora seja uma parte menor da organização. As CAs não têm métodos para verificar consistentemente a parte menor da organização e afirmar sua identidade.

Vida após a remoção do campo da UO

Então, como a remoção do campo da UO afetará as empresas? Aqui está tudo o que você precisa saber sobre a próxima mudança:

  • Para estar em conformidade com os padrões do setor, as autoridades de certificação removerão o campo Unidade Organizacional (OU) de todos os certificados SSL públicos até o final de agosto de 2022.
  • Essa alteração não afetará os certificados emitidos anteriormente com um campo OU válido.
  • Isso não afeta os certificados SSL privados ou outros tipos de certificados não SSL.

Conclusão

A tecnologia da Web está evoluindo em um ritmo alucinante e, junto com ela, as ameaças cibernéticas estão se tornando mais sofisticadas. Quando se trata de criptografia da Web, os órgãos reguladores devem ser proativos e prever as vulnerabilidades dos sistemas que eles regulam.

O campo Unidade organizacional não é uma parte essencial do processo geral de pedido de SSL e, como tal, torna-se uma ameaça em potencial. Removê-lo é uma maneira simples de evitar confusão e melhorar o tempo de validação.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Economize 10% agora!
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.

Posts relacionados
PCI DSS 3.2: Você deve parar de usar SSL 3.0 e TLS 1.0
Validade da SSL limitada a 39 meses a partir de abril de 2015
Quais são as novidades mais recentes no setor de certificados SSL?
O Google apresenta o painel de segurança no DevTools
Validade do SSL será restrita a 2 anos a partir de março de 2018