Google Chrome y el mensaje “Su conexión no es privada

Passados quase 2 meses desde o lançamento da versão 58 do Google Chrome, lançada em 25 de abril desse ano, ainda há muita gente por aí encontrando a mensagem “Sua conexão não é particular” com o código de erro NET::ERR_CERT_COMMON_NAME_INVALID ao acessar sites com cadeados (sites protegidos pelo protocolo SSL ou TLS).

Mas o que essa mensagem no Google Chrome realmente significa e como ela surgiu? Bem, primeiramente é preciso saber o que acontece quando os navegadores web acessam um site protegido por SSL.

Certificado de servidor

Há uma série de verificações de segurança nos navegadores. Dentre elas, a mais importante para os propósitos dessa explicação é a verificação da validade do certificado apresentado pelo servidor. Essa verificação tem o objetivo de determinar se o certificado apresentado pelo servidor que hospeda o site é válido. Pode-se verificar no Google Chrome, por exemplo, se o certificado foi emitido por uma Autoridade Certificadora confiável, se sua assinatura está válida, se o propósito de uso do certificado está correto, se a URL para o qual o certificado foi emitido corresponde à URL do site, etc. Vamos entender melhor: quando o navegador web acessa o servidor na URL https://www.meusite.com.br, “https” indica que deve ser utilizado o protocolo HTTPS e www.meusite.com.br indica o nome do servidor na internet. Assim, quando o protocolo SSL é ativado, o navegador web inicialmente recebe o certificado digital do servidor. Em seguida, inicia o procedimento de sua validação. Como informado anteriormente, uma das etapas da verificação é determinar se a URL do servidor é a mesma para a qual o certificado foi emitido. Por exemplo, o certificado do servidor do Google Chrome possui a informação da URL do servidor em dois locais: no campo Requerente e no campo de extensão Nome Alternativo para o Requerente:

Campo del demandante:

• CN = *.google.com;
• O = Google Inc;
• L = Mountain View;
• S = California;
• C = EE.UU.

Nombre alternativo del campo del solicitante:

• Nombre DNS=*.google.com;
• DNS name=*.android.com.

Cómo validar un certificado y un servidor

Agora que sabemos parte do que acontece quando acessamos um site protegido por SSL, entra em cena o documento RFC 2818. Este documento dá instruções sobre como os certificados digitais de servidores devem ser validados. Ele nada mais é do que um tipo de especificação pública para os fabricantes de software. Na seção 3.1 da RFC 2818 é possível encontrar as duas formas de identificação da URL do servidor que podem ser utilizadas em um certificado digital:

1. En el componente Nombre común (CN) incluido junto al nombre de la entidad solicitante (campo Asunto );
2. Nombre alternativo para el campo de extensión Solicitante (o Nombres alternativos de asunto).

O Common Name é utilizado há bastante tempo como a forma principal de identificação. Além disso, sua visualização é bem intuitiva.

Propuesta de alternativa

No início desse ano começou um extenso debate sobre a remoção do suporte a validações baseadas somente no Common Name. No lugar dele se propunha adotar o Subject Alternative Names. Podemos discutir se essa atualização está de acordo com todas as especificações necessárias, ou se realmente traz benefícios para a segurança. Entretanto esse assunto é mais abrangente e vamos deixar para uma próxima oportunidade. Nesse momento o importante é o Subject Alternative Names passou a ser obrigatório no Google Chrome. Agora é preciso que os certificados de SSL possuam a extensão Subject Alternative Names também. Do contrário, as validações de segurança realizadas pelo Google Chrome vão resultar no alerta “Sua conexão não é particular” com o código de erro NET::ERR_CERT_COMMON_NAME_INVALID. Assim, se você é responsável por servidores que apresentam esse tipo de problema com os certificados digitais, entre em contato com a Autoridade Certificadora de sua preferência e solicite um certificado contendo o campo Subject Alternative Names. Caso isso não seja possível imediatamente, mas mesmo assim você quer se livrar dessa mensagem, é possível sobrescrever o comportamento das verificações de certificados através da opção de configuração EnableCommonNameFallbackForLocalAnchors. Tome cuidado, pois como o próprio link menciona, essa opção não é recomendada. Essa opção de configuração valerá até a versão 65, sem data de lançamento prevista.

E-VAL Technology, una empresa del Grupo E-VAL

A E-VAL Tecnologia atua há mais de 12 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os seguimentos de instituições financeiras, educação e indústria. Fale conosco, os especialistas da E-VAL Tecnologia terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel. Eval, la seguridad es un valor.