Nova ferramenta online avalia qualidade dos SSL

O propósito do SSL Pulse é sensibilizar os proprietários de sites e fornecer-lhes ferramentas para aperfeiçoarem as implantações do protocolo de segurança SSL.

A iniciativa Trustworthy Internet Moviment (TIM) lançou o seu primeiro projecto: um painel online chamado SSL Pulse para monitorizar a qualidade do suporte a certificados SSL nos sites. A ferramenta foi apresentada quinta-feira pela organização sem fins lucrativos, na Infosecurity Europa.
O Pulse SSL está hoje a monitorizar 200 mil sites com certificados válidos, representando a maioria dos sites SSL da  lista Alexa, na qual constam um milhão. Destes, apenas 50% atingiu o nível de qualidade máximo na avaliação feita pela organização. Os restantes podem ser melhorados, de acordo com a TIM.
Qualquer pessoa pode usar o SSL Pulse para verificar se um site tem uma função SSL suficientemente segura. Disponível está também uma lista dos sites com o melhor e o pior desempenho.
No evento, Philippe Courtot, fundador da TIM e presidente e CEO da Qualys, explicou  disse que a ideia do Pulse não é discriminar nem envergonhar as organizações mal preparadas. (É a tecnologia da Qualys que suporta a plataforma). O objectivo é sensibilizar e fornecer ferramentas para proprietários de sites melhorarem as suas implementações de SSL.
“Os certificados SSL prometem segurança, mas se não forem geridos adequadamente, acabam por dar aos utilizadores uma falsa sensação de segurança”, disse Courtot. “Se todos estiverem a par [ndr: do nível de segurança] não há desculpas; qualquer pessoa pode ver a nota e verificar qualquer site em cerca de um minuto”.
De acordo com dados actuais do Pulse, apenas 10% de todos os sites habilitados com SSL estão actualmente seguros. Entretanto, 40% suportam códigos de cifragem fracos ou inseguros, e apenas 8% têm um certificado Extended Validation.
O director de engenharia da Qualys, Ivan Ristic afirma que os números reais deverão ser mais significativos, depois de ganharem algum contexto histórico. No entanto, destacou que 75% dos sites ainda são vulneráveis ao ataque BEAST – conhecido desde 2004.
Courtot rejeitou a ideia de que a plataforma estará a fornecer um directório para cibercriminosos: os hackers já têm ferramentas semelhantes para rastrear sites e detectar vulnerabilidades, alegou.
Ele disse que as organizações com pobre suporte ao SSL têm “sorte em não terem sido já comprometidas”.
A questão da reputação da marca foi um pouco menos clara. Courtot revelou que há um fórum onde as organizações podem apresentar os seus problemas sobre este tema.
Juntamente com a nova plataforma, a TIM anunciou a formação de um grupo de trabalho composto por especialistas em segurança. Terão a função de analisar as questões de governação de SSL conhecidas e desenvolver novas propostas destinadas a tornar generalizada os SSL na Internet.
Este grupo de trabalho inclui o CISO da Paypal, Michael Barrett, o criador do protocolo SSL, Taher ElGamal, o CTO da  Global Sign, Ryan Hurst, o engenheiro de software do Google Adam Langley, o  fundador da Whisper Systems,  Moxie Marlinspike e Ivan Ristic, da Qualys.

Nova ferramenta online avalia qualidade dos SSL

O propósito do SSL Pulse é sensibilizar os proprietários de sites e fornecer-lhes ferramentas para aperfeiçoarem as implantações de SSL.

A iniciativa Trustworthy Internet Moviment (TIM) lançou o seu primeiro projecto: um painel online chamado SSL Pulse para monitorizar a qualidade do suporte a certificados SSL nos sites. A ferramenta foi apresentada quinta-feira pela organização sem fins lucrativos, na Infosecurity Europa.

O Pulse SSL está hoje a monitorizar 200 mil sites com certificados válidos, representando a maioria dos sites SSL da lista Alexa, na qual constam um milhão. Destes, apenas 50% atingiu o nível de qualidade máximo na avaliação feita pela organização. Os restantes podem ser melhorados, de acordo com a TIM.

Qualquer pessoa pode usar o SSL Pulse para verificar se um site tem uma função SSL suficientemente segura. Disponível está também uma lista dos sites com o melhor e o pior desempenho.

No evento, Philippe Courtot, fundador da TIM e presidente e CEO da Qualys, explicou disse que a ideia do Pulse não é discriminar nem envergonhar as organizações mal preparadas. (É a tecnologia da Qualys que suporta a plataforma). O objectivo é sensibilizar e fornecer ferramentas para proprietários de sites melhorarem as suas implementações de SSL.

“Os certificados SSL prometem segurança, mas se não forem geridos adequadamente, acabam por dar aos utilizadores uma falsa sensação de segurança”, disse Courtot. “Se todos estiverem a par [ndr: do nível de segurança] não há desculpas; qualquer pessoa pode ver a nota e verificar qualquer site em cerca de um minuto”.

De acordo com dados actuais do Pulse, apenas 10% de todos os sites habilitados com SSL estão actualmente seguros. Entretanto, 40% suportam códigos de cifragem fracos ou inseguros, e apenas 8% têm um certificado Extended Validation.

O director de engenharia da Qualys, Ivan Ristic afirma que os números reais deverão ser mais significativos, depois de ganharem algum contexto histórico. No entanto, destacou que 75% dos sites ainda são vulneráveis ​​ao ataque BEAST – conhecido desde 2004.

Courtot rejeitou a ideia de que a plataforma estará a fornecer um directório para cibercriminosos: os hackers já têm ferramentas semelhantes para rastrear sites e detectar vulnerabilidades, alegou.

Ele disse que as organizações com pobre suporte ao SSL têm “sorte em não terem sido já comprometidas”.

A questão da reputação da marca foi um pouco menos clara. Courtot revelou que há um fórum onde as organizações podem apresentar os seus problemas sobre este tema.

Juntamente com a nova plataforma, a TIM anunciou a formação de um grupo de trabalho composto por especialistas em segurança. Terão a função de analisar as questões de governação de SSL conhecidas e desenvolver novas propostas destinadas a tornar generalizada os SSL na Internet.

Este grupo de trabalho inclui o CISO da Paypal, Michael Barrett, o criador do protocolo SSL, Taher ElGamal, o CTO da Global Sign, Ryan Hurst, o engenheiro de software do Google Adam Langley, o fundador da Whisper Systems, Moxie Marlinspike e Ivan Ristic, da Qualys.




Deixe um comentário

O seu email não será publicado