A Google anunciou que a empresa vai desabilitar a checagem de revogação de certificação online na futura versão do seu navegador Chrome. Padrão entre todos os principais softwares de navegação, esse é o processo que solicita um certificado de autorização quando o internauta acessa um site com um novo certificado digital. Embora o processo de revogação atual não esteja funcionando, a correção para o Chrome é problemática de diversas maneiras - e uma solução muito mais simples encontra-se em evidência, tanto para o navegador da Google, como para os concorrentes.

Quando seu navegador se conecta a um site protegido com HTTPS, ele vai examinar o certificado digital apresentado, buscar o link de revogação incorporado no certificado (se ele existir) e solicitar o certificado de autorização para determinar se ele foi revogado pelo emissor.

Razões comuns para a revogação de certificados incluem o comprometimento da senha de privacidade do dono ou apenas a substituição periódica da certificação, mas um certificado também pode ser revogado por qualquer motivo se solicitado pelo emitente.

A checagem de revogação permite que aplicações como o seu navegador verifique que o certificado digital do site que você está visitando ainda é válido e confiável. Como tal, é parte integral da infraestrutura de chaves públicas (PKI) e sem ela, há riscos de segurança. Infelizmente, a revogação tem sido negligenciada ou ignorada. A forma como ela acontece depende da aplicação de “consumo” ou do sistema. Em muitos casos, ela é feita de forma tão pobre que é difícil dizer se está acontecendo ou se tem algum valor.

Por exemplo, os certificados digitais de muitos sites não contêm o link de revogação ou eles indicam uma localização que não é acessível. Uma apresentação no Black Hat Las Vegas revelou que alguns anos atrás 90% dos sites protegidos com HTTPS não empregavam os certificados digitais corretamente. Nem todos os casos de falhas se deviam a problemas de revogação, mas grande parte deles, sim.

Falhas - A checagem de revogação de HTTPS é tão falha que os navegadores mais populares estão configurados como “aberto”, o que significa que se a certificação não puder ser confirmada, o navegador vai proceder como se o certificado fosse válido.

E o pior é que muitos internautas não sabem que a checagem de certificados digitais não funciona como deveria. Muitos navegadores podem ser configurados para não abrir páginas sem a confirmação da validade do certificado, mas nenhuma fornecedora de navegadores tem força para tornar essa medida padrão em seus produtos. Muitos sites legítimos ficariam inacessíveis e as empresas não querem frustrar a navegação do usuário.

Todos os especialistas em infraestrutura de chaves públicas (PKI) e encriptação entendem os problemas atuais com as revogações de certificados, não apenas a Google. A gigante das buscas está promovendo uma mudança afirmando que os padrões de certificados digitais geralmente aceitos hoje, Certificate Revocation Lists (CRLs) e Online Certificates Status Protocol (OCSP) não têm mais conserto.

A Google citou diversas razões para se livrar dos padrões CRL e OCSP:

- A revogação de certificados não funciona porque os links não estão incluídos ou os endereços não estão disponíveis;
- Os navegadores não conseguem ou fazem a certificação valer;
- A checagem de certificados é uma vulnerabilidade de segurança significativa porque os cibercriminosos podem intercepta-la e causar uma falsa falha que o navegador vai ignorar;
- O OCSP é lento, geralmente aumentando em um segundo tempo de carregamento de um site.