in

CIOs estão preocupados sobre os riscos de segurança dos certificados SSL/TLS

O crescimento cada dia maior do uso do certificados de SSL/TLS necessita de uma gestão eficiente.

Microsoft elimina TLS 1.0 e 1.1 em seu repositório de aplicativos Linux
Os clientes que não usam o TLS 1.2 não terão mais permissão para baixar os pacotes; e a Microsoft enfatiza que as empresas devem desistir de versões anteriores devido a riscos de segurança.

Pelo menos 75% dos CIOs globais estão preocupados com a proliferação de certificados SSL/TLS e os crescentes riscos de segurança associados a eles, de acordo com um novo estudo da Venafi.

Os esforços de transformação digital levaram a uma explosão de certificados SSL/TLS para proteger os sistemas de computação modernos, mas, ao fazer isso, os processos manuais ou semi-autônomos usados para controlá-los não são mais adequados para o propósito.

CIOs estão preocupados sobre os riscos de segurança dos certificados SSL/TLS

O problema tende a piorar: 93% dos entrevistados disseram à Venafi que tinham um mínimo de 10.000 certificados TLS ativos, enquanto 40% disseram que tinham mais de 50.000 atualmente em uso. No entanto, quase todos (97%) dos CIOs estimaram que o número de certificados TLS usados por sua organização aumentaria pelo menos 10-20% no próximo ano.

Mais da metade (56%) dos CIOs entrevistados no novo estudo disseram que se preocupam com interrupções e interrupções de negócios devido a esses certificados expirados.

CIOs estão preocupados sobre os riscos de segurança dos certificados SSL/TLS

O fornecedor de segurança entrevistou 550 CIOs dos EUA, Reino Unido, França, Alemanha e Austrália. A medida foi para entender melhor as atitudes em relação aos certificados cada vez mais usados e proteger o fluxo de dados para máquinas confiáveis.

Isso pode levar à expiração de um grande número sem o conhecimento de CIOs e TI, expondo a organização a riscos. Um estudo anterior da Venafi revelou que os profissionais de TI, em média, encontraram mais de 57.000 identidades de máquinas com SSL/TLS que não sabiam que tinham em seus negócios e nuvens.

Além disso, temos que levar em consideração outros fatores.

As organizações maiores fazem  a aquisição de certificados de forma descentralizada. Um pequeno grupo que opera com seu próprio suporte de TI sai e obtém seus próprios certificados porque não entende os processos corporativos maiores ou mesmo sabe que tais processos existem, ou eles não sentem que deveriam ter para fazer o esforço (e acho que eles podem se safar com isso).

Esses grupos acabam desempenhando um papel crítico, mas um tanto oculto, nas funções da empresa. Ninguém percebe que eles próprios saíram para a PKI até que um certificado expire e funções críticas falhem. Isso não deveria acontecer em uma empresa bem administrada, mas garanto que sim.

Frequentemente, esta é uma preocupação de um CIO. No entanto, pode ser muito difícil de monitorar os certificados de SSL/TLS e se defender proativamente. Sim, deve ser fácil realizar o monitoramento central, mas na prática, pode ser quase impossível identificar o uso não autorizado. Se eu fosse um CIO, ou especialmente um CISO, questões como essa me deixariam acordado à noite.

Diante deste cenário, CIOs devem questionar seus processos de TI que realizam a gestão do ciclo de vida dos certificado SSL/TLS. Tudo isso precisa ser priorizado e reavaliado, para que a instituição não seja atingida e paralise o negócio.

China agora está bloqueando todo o tráfego HTTPS com TLS 1.3 e ESNI

Como emitir certificado de SSL gratuito

Escrito por Adriano Frare

Escritor do livro Aplicações Avançadas em LINUX com mais de 20 anos trabalhando com LINUX e UNIX.