Microsoft removerá 20 autoridades de programa de certificados

22/12/2015 11:13
Companhia removerá autoridades que resolveram sair voluntariamente e aquelas que não cumpriram auditoria e requisitos técnicos rigorosos
 

Dezenas de milhares de sites podem começar a apresentar erros de certificação aos seus visitantes em janeiro, quando a Microsoft planeja remover a aceitação de 20 certificados de raiz de Autoridades de Certificação (CA, na sigla em inglês) ao redor do mundo.

A lista de certificações, agendada para ser removida do programa "Trusted Root" da Microsoft, pertence a certificados tanto de organizações privadas quanto públicas, incluindo a brasileira Serasa Experian.

Com a remoção do programa da Microsoft, as certificações também serão removidas da lista de certificado de segurança no Windows que são usadas por navegadores como Google Chrome, Internet Explorer e Microsoft Edge, assim como clientes de e-mail e outras aplicações que suportam comunicações seguras via SSL/TLS. 

A Microsoft removerá as 20 CAs ou porque eles resolveram sair voluntariamente do programa de certificação ou porque não cumpriram requisitos técnicos e a auditoria mais rigorosa que foram publicadas em junho dentro do Trusted Root Certificate, disse Aaron Kornblum, gerente do programa de governança, de gerenciamento de risco e conformidade na Microsoft, no blog da companhia. 

Dessa forma, as CAs não terão mais um selo de aprovação digital a partir de janeiro. 

A remoção de uma autoridade de certificação do Microsoft Trusted Root Certificate Program essencialmente acarretará em todos os certificados que retornam como não confiáveis. Isso não aplica apenas a certificados SSL/TLS, mas também a certificados que são usados para validar programas de software que foram lançados por desenvolvedores legítimos e não foram até então modificados. 

A Serasa Experian conta com três CAs na lista da Microsoft.

“Atualmente a Serasa Experian não tem nenhum cliente relacionado a essas autoridades de certificação”, disse uma representante da Serasa por e-mail. “Nós paramos de trabalhar com essas CAs em janeiro”. 

A Microsft recomenda que proprietários de certificados digitais revejam a lista e procurem saber se algum deles irá impactar ou não seus próprios serviços e que os substituam por outros fornecedores. De qualquer forma, eles podem querer contatar suas atuais CAs primeiro e perguntar se eles contam com planos para consertar o problema. 

 

Fonte:IDGNOW

 

Voltar