top of page
branco

Consultoria de Segurança da Informação

branco

Consultoria de Segurança da Informação

Home
Serviços
Sobre

Linkedin

Av Paulista, 1634

são paulo | madrid

contato@anzemis.com

Como avaliar se o certificado de segurança de um site é confiável 

  • gustavokoketsu
  • Jun 16
  • 2 min read
ree

  Nos artigos anteriores apresentamos o SSL (Secure Socket Layer) que é um certificado responsável pela segurança dos sites que acessamos, onde um site que não apresente esse tipo de certificado não possui uma conexão segura. Nesse artigo vamos um pouco além e abordar sobre o uso malicioso desses certificados a fim de enganar usuários. 

Ao inspecionarmos um certificado clicando no icone ao lado da onde digitamos o endereço do site, podemos ver se há o aviso que “A conexão é segura”, porém essa informação sozinha apenas diz que há um certificado, por isso devemos inspecionar um pouco mais para saber sobre sua procedência. No caso se clicarmos em “A conexão é segura” e em seguida em “O certificado é valido” podemos enfim ver as informações do certificado e avaliar se há algo suspeito. 

  • Começando pelo CN(Common Name), apresenta o nome do domínio do certificado, que deve ser o mesmo do site visitado. 

  • A validade do certificado, que deve estar dentro do período utilizado. Um certificado com a validade vencida pode ser uma página oficial que foi descontinuada e que esqueceram de remove-la 

  • Emissor CA (Certificate Authority) são orgãos que regulam os certificados. É importante averiguar se o CA apresentado é legítimo, como a DigiCert, Let's Encrypt, Sectigo. 

  • Os nomes alternativos devem fazer sentido com a linha do site, como se verificarmos um site de venda de carros, não faz sentido um dos seus subdominios ser o acesso de uma aplicação de RH de uma empresa sem ligação alguma com o site visitado 

  • “Restrições Básicas”, é importante que o certificado informe que “Não é uma Autoridade de certificação” 

  • “Lista de Carimbos de Data e Hora do certificado assinado” é importante ter pelo menos um registro desse item, pois ele certifica que foi passado por algum registro público, sendo assim ele pode ser rastreado até seu criador.  

Apesar de serem muitos detalhes, é inviável fazer esse reconhecimento em todo site que visitamos, porém o intuito desse artigo é trazer alguns pontos importantes para averiguar em caso de dúvida ao visitar uma página, pois a ação maliciosa estará sempre nos detalhes que podem passar desapercebidos. 

 
 
bottom of page