Recentemente em nosso blog falamos sobre o grande desafio de gerenciamento do ciclo de vida dos certificados digitais. Assim como o forte impacto gerado quando ocorre a perda dos certificados digitais junto com o par de chaves.
Abordamos vários aspectos importantes que devem ser prioritários para as organizações, principalmente aquelas que detêm muitas chaves de criptografia.
Vamos seguindo ainda este importante tema. Agora falaremos sobre os efeitos de não aplicar as boas práticas de gerenciamento do ciclo de vida dos certificados digitais.
Entenda como acontece um ciclo de vida completo de um certificado digital até os problemas de gerenciar múltiplos certificados.
Certificados Digitais: relembre alguns conceitos fundamentais
Um certificado digital, como você sabe, nada mais é que um “passaporte” eletrônico. Ele permite que uma pessoa, computador ou organização troque informações de maneira segura através da Internet. Para isso, é utilizada uma infraestrutura de chaves públicas (PKI).
Assim como um documento, a exemplo do passaporte, o certificado digital fornece informações de identificação, é resistente a falsificações e pode ser verificado.
Afinal, são emitidos por um órgão certificador, conhecido como Autoridade Certificadora ou AC. Existem vários desses órgãos espalhados pelo país, além disso, eles são confiáveis e seguros.
E após um processo de validação, os sistemas operacionais e navegadores mantêm listas destes certificados digitais para que possam ser verificados facilmente sempre que necessário. Além disso, é importante observar também constantemente as autoridades que emitiram e assinaram.
Dessa forma, atendemos a vários requisitos de segurança e de conformidade regulamentar. Diminuindo assim incidentes de segurança, de roubo e de exposição de dados.
Logo após termos refrescado a memória sobre a importância de usar um certificado digital, podemos até pensar que gerenciamento do ciclo de vida do certificado digital é algo simples, principalmente quando estamos falando de poucos certificados.
Porém, a compra de certificados digitais pode ser um processo complexo. Principalmente quando falamos de certificados digitais de chave criptográfica.
É preciso considerar vários aspectos quanto ao processo de criação, armazenamento e uso dos certificados digitais.
Lembramos mais uma vez o fato de que temos um “passaporte”. E também que ele servirá de porta de entrada para acesso a dados sensíveis da organização, funcionários e clientes.
O gerenciamento do ciclo de vida dos certificados digitais na prática
Basicamente, o ciclo de vida de um certificado digital passa pelas seguintes etapas:
Etapa de requisição
Nesse momento é feita a requisição para uma autoridade certificadora, seja ela interna ou externa. A partir daí o certificado digital é gerado.
O processo de requisição, em suma, consiste na apresentação dos documentos necessários em uma entidade de registro (AR) credenciada. Ela será responsável pela validação e emissão dos certificados digitais.
De forma geral os passos deste processo são os seguintes:
- A geração do par de chaves;
- A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);
- A solicitação do certificado digital é enviada à autoridade certificadora através de um arquivo CSR;
- Após o recebimento do arquivo do certificado digital, ocorre a associação do certificado digital recebido com a chave privada RSA gerada no primeiro passo.
Vale destacar que estamos apresentando de forma simplificada o gerenciamento do ciclo de vida dos certificados digitais. Entretanto há um processo de assinatura que envolve criptografia com chaves públicas e privadas garantindo a segurança dos certificados digitais.
Etapa do uso
Aqui está o propósito principal dos certificados digitais. Nesse ponto definimos onde eles são usados e gerenciados, sendo necessária a utilização de dispositivos, caso sejam armazenados em hardware.
Ou ainda, caso sejam utilizados arquivos de configuração que precisam de um cuidado especial nas situações em que estejam armazenados em software.
O mais importante nesse processo de aquisição é ter a certeza das necessidades da aplicação que utilizará o certificado digital. Além disso, também se deve saber quais as exigências da AC para a emissão do certificado digital.
Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor nas suas necessidades e que facilite o seu trabalho, pois existem diversos sistemas que podem auxiliá-lo em todo o processo de geração dos certificados digitais.
Certificado Digital na mão, o que pode dar errado?
Evoluímos para um processo que hoje em dia é fácil obter um certificado digital, o procedimento é simples, rápido e seguro.
Mas chegamos ao ponto mais importante de nosso artigo, e para as organizações com uma alta demanda de chaves criptográficas, quais são as questões mais críticas para realizar o gerenciamento do ciclo de vida dos certificados digitais?
6 problemas gerados pelo gerenciamento do ciclo de vida dos certificados digitais
A fim de realizar o gerenciamento do ciclo de vida dos certificados digitais de forma eficiente surgem questões que podem se tornar grandes problemas para as empresas:
- Quem tem a senha que protege o certificado digital?
- Quem verifica quando o certificado digital irá expirar?
- Como gerenciar múltiplos certificados? Imagine por exemplo como será gerenciar 30 ou mais certificados digitais.
- Quais as políticas de segurança da informação que direcionam a organização para que as chaves dos certificados digitais não vazem, ou sejam comprometidas?
- Como está definida a política de segurança da informação para o gerenciamento do ciclo de vida dos certificados digitais?
- Em caso de vazamento de informações as chaves estão seguras?
Para se ter uma ideia do impacto do ciclo de vida dos certificados digitais vejamos como exemplo a perda da validade.
O certificado digital pode perder a validade por dois motivos:
- Perda da validade pelo vencimento do certificado digital: Quando o certificado digital chega ao seu fim de vida ou seja, a data de expiração.
Geralmente os certificados digitais têm de 1 a 3 anos de validade que são determinados pelas ACs ou por organizações às quais as ACs se submetem. No caso do Brasil o ITI regulamenta pela ICP-Brasil.
- Perda da validade pela revogação do certificado digital: Quando se perde um certificado digital, ou ele é roubado, ou qualquer outro motivo que comprometa a integridade do certificado digital o mesmo deve ser revogado para que todos saibam que ele não é mais válido.
 |
Momento de pensar sobre os certificados digitais
Agora vamos fazer uma provocação. Pense nos seis pontos que foram descritos acima e que identificamos como potenciais problemas na gestão do ciclo de vida dos certificados digitais.
Além disso, pense nesse momento em como responder cada pergunta que foi apresentada e vá além. Imagine os desafios e riscos para uma empresa que trabalha com muitos certificados digitais.
Por fim, pare para pensar nos impactos financeiros e de credibilidade que podem ocorrer se um gestor e seu time de TI não estiverem perfeitamente alinhados em seus processos e políticas de segurança.
Fica aqui o ponto de reflexão e o convite para continuar acompanhando nosso blog, assim como nosso perfil do Linkedin. Essa é uma discussão extensa e um grande desafio para as empresas. Tem alguma dúvida sobre gerenciamento do ciclo de vida dos certificados digitais? Deixe seu comentário.
Sobre a Eval
A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.
