A recente notícia de que o navegador Google Chrome vai confiar menos em certificados TLS (Transport Layer Security, Segurança da Camada de Transporte) emitidos pela Symantec que naqueles emitidos por outras autoridades de certificação reacendeu discussões sobre como a confiança é demonstrada aos usuários da Internet. Os certificados TLS são usados para confiar na segurança de sites, mas a PKI (Public Key Infrastructure, Infraestrutura de Chaves Públicas) depende das mais de 100 autoridades de certificação que podem emitir certificados de autenticação de sites. O desafio é que, para que esses certificados sejam confiáveis, alguém precisa especificar as regras que controlam as autoridades de certificação e como removê-las caso essas regras não sejam seguidas.
Nas últimas duas décadas, os fornecedores de navegadores, como Mozilla (Firefox), Google (Chrome), Apple (Safari) e Microsoft (Internet Explorer e Edge) se tornaram responsáveis por determinar a confiabilidade de cada autoridade de certificação. Cada navegador tem as próprias políticas para lidar com autoridades de certificação que não cumprem os requisitos de confiança, de acordo com a forma escolhida para proteger seus usuários. Os principais fornecedores de navegadores e algumas autoridades de certificação fazem parte do Fórum de autoridades de certificação e navegadores. Esse grupo cria os "requisitos básicos" que formam as políticas que devem ser seguidas pelas autoridades de certificação, mas não vigia seus membros. Dessa forma, os fornecedores de navegadores precisam usar os próprios métodos para avaliar a confiabilidade das autoridades de certificação. Isso pode gerar medidas como as restrições do Google a certificados emitidos pela Symantec, as restrições a certificados emitidos pela WoSigne pela Diginotar, entre outras.
As Extensões de Segurança do Sistema de Nomes de Domínio são a solução?
Quando essas discussões surgem, as pessoas costumam sugerir a proteção do DNS (Sistema de Nomes de Domínio) através das Extensões de Segurança do Sistema de Nomes de Domínio, uma possível alternativa ou complemento à PKI da Web baseada em X.509. Em um nível mais amplo, a PKI da Web protege a integridade do conteúdo das páginas da Web, enquanto que as Extensões de Segurança do Sistema de Nomes de Domínio protege a integridade dos dados do DNS que podem levar a essas páginas da Web. Mas os dois sistemas têm modelos bem diferentes para determinar a confiabilidade dos dados. Uma das principais diferenças entre os dois sistemas é que a PKI da Web depende de uma lista de mais cem organizações que precisam de confiança total, enquanto que as Extensões de Segurança do Sistema de Nomes de Domínio têm apenas uma âncora de confiança global. Outra diferença significativa é que a autenticação da PKI da Web é feita pelos navegadores escolhidos pelo usuário, enquanto que a autenticação das Extensões de Segurança do Sistema de Nomes de Domínio é feita através dos resolvedores que o computador do usuário decide usar.
A âncora única de confiança global traz vantagens às Extensões de Segurança do Sistema de Nomes de Domínio. A comunidade da Internet exige mais transparência em relação ao método de controle da confiança no DNS que na PKI da Web, e a ICANN responde através de um processo extremamente aberto, transparente e responsável. Os representantes confiáveis da comunidade desempenham uma função ativa na manutenção das chaves de criptografia, participando de cerimônias que as pessoas podem assistir ao vivo ou em gravações. As comunidades técnicas ajudam a dar forma aos processos que controlam a cadeia de confiança das Extensões de Segurança do Sistema de Nomes de Domínio, incluindo contribuições importantes para os processos que a ICANN utiliza para atualizar (ou implementar) a Chave de Assinatura de Chaves (KSK) (chamada de implementação da KSK).
Por enquanto, a PKI da Web não vai desaparecer, mas é provável que a maneira como os navegadores interagem com as autoridades de certificação evolua. Na verdade, há medidas em andamento para que a PKI da Web interaja melhor com as Extensões de Segurança do Sistema de Nomes de Domínio através da DANE (DNS-based Authentication of Named Entities, Autenticação Baseada em DNS de Entidades Nomeadas). O Grupo de Trabalho de TLS da IETF (Força-tarefa de Engenharia da Internet) está trabalhando para permitir que os clientes de TLS realizem a autenticação por DANE de um certificado TLS sem precisar fazer outras buscas de registros de DNS. Esse trabalho pode gerar um modelo interessante de confiança híbrida para navegadores, utilizando o melhor do modelo de confiança das Extensões de Segurança do Sistema de Nomes de Domínio.
As autoridades de certificação vão evoluir
Devido à escala da PKI da Web e ao número de agentes não conhecidos envolvidos, não é de surpreender que os usuários da Internet perguntem como garantir a confiança no DNS. Os fornecedores de navegadores tomarão ainda mais medidas para melhorar a segurança para os usuários. Com o aumento da implementação das Extensões de Segurança do Sistema de Nomes de Domínio, parece provável que seu uso para proteger o DNS contribua ainda mais para estabelecer a confiança, permitindo que os usuários da Internet se comuniquem de forma segura.