Como verificar se um certificado digital é confiável

http://www.cert.br

 

Para saber se um certificado é confiável, é necessário observar alguns requisitos, dentre eles:

  • se o certificado foi emitido por uma AC confiável (pertence a uma cadeia de confiança reconhecida);
  • se o certificado está dentro do prazo de validade;
  • se o certificado não foi revogado pela AC emissora;
  • se o dono do certificado confere com a entidade com a qual está se comunicando (por exemplo: o nome do site).

Quando você tenta acessar um site utilizando conexão segura, normalmente seu navegador já realiza todas estas verificações. Caso alguma delas falhe, o navegador emite alertas semelhantes aos mostrados na Figura 10.6.

[Alerta de certificado não confiável em diversos navegadores]Figura 10.6: Alerta de certificado não confiável em diversos navegadores.

Em geral, alertas são emitidos em situações como:

  • o certificado está fora do prazo de validade;
  • o navegador não identificou a cadeia de certificação (dentre as possibilidades, o certificado pode pertencer a uma cadeia não reconhecida, ser autoassinado ou o navegador pode estar desatualizado e não conter certificados mais recentes de ACs);
  • o endereço do site não confere com o descrito no certificado;
  • o certificado foi revogado.

Ao receber os alertas do seu navegador você pode optar por:

Desistir da navegação: dependendo do navegador, ao selecionar esta opção você será redirecionado para uma página padrão ou a janela do navegador será fechada.
Solicitar detalhes sobre o problema: ao selecionar esta opção, detalhes técnicos serão mostrados e você pode usá-los para compreender o motivo do alerta e decidir qual opção selecionar.
Aceitar os riscos: caso você, mesmo ciente dos riscos, selecione esta opção, a página desejada será apresentada e, dependendo do navegador, você ainda terá a opção de visualizar o certificado antes de efetivamente aceitá-lo e de adicionar uma exceção (permanente ou temporária).

Caso você opte por aceitar os riscos e adicionar uma exceção, é importante que, antes de enviar qualquer dado confidencial, verifique o conteúdo do certificado e observe:

  • se o nome da instituição apresentado no certificado é realmente da instituição que você deseja acessar. Caso não seja, este é um forte indício de certificado falso;
  • se as identificações de dono do certificado e da AC emissora são iguais. Caso sejam, este é um forte indício de que se trata de um certificado autoassinado. Observe que instituições financeiras e de comércio eletrônico sérias dificilmente usam certificados deste tipo;
  • se o certificado encontra-se dentro do prazo de validade. Caso não esteja, provavelmente o certificado está expirado ou a data do seu computador não está corretamente configurada.

De qualquer modo, caso você receba um certificado desconhecido ao acessar um site e tenha alguma dúvida ou desconfiança, não envie qualquer informação para o siteantes de entrar em contato com a instituição que o mantém para esclarecer o ocorrido.

 

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s