VOLTAR ÀS NOTÍCIAS
PesquisaCrítico

Programa Root do Chrome Elimina Validação de Domínio Insegura para Certificados HTTPS

4 min de leituraFonte: Google Security Blog

Chrome e CA/Browser Forum anunciam eliminação de 11 métodos legados de validação de domínio até 2028, reforçando a segurança de certificados TLS.

Programa Root do Chrome Reforça Segurança HTTPS com Eliminação de Métodos Legados de Validação de Domínio

Mountain View, CA – O Chrome Root Program e o CA/Browser Forum anunciaram uma significativa melhoria de segurança para a web moderna ao adotar novos requisitos que eliminarão 11 métodos legados de Domain Control Validation (DCV) para certificados HTTPS. Essas mudanças, impulsionadas por recentes votações do CA/Browser Forum (SC-080, SC-090 e SC-091), visam eliminar práticas de verificação mais fracas – como validação por e-mail, telefone e correio físico – em favor de alternativas automatizadas e criptograficamente verificáveis. A transição completa está prevista para ser concluída até março de 2028, dando tempo para que operadores de sites se adaptem.

Por Que a Validação de Controle de Domínio é Importante

A Domain Control Validation (DCV) é um processo de segurança crítico que garante que certificados TLS sejam emitidos apenas para operadores legítimos de domínios. Sem uma DCV robusta, atacantes poderiam obter fraudulentamente certificados para domínios que não controlam, possibilitando ataques de personificação ou interceptação de tráfego. Historicamente, as Autoridades Certificadoras (CAs) dependiam de métodos de validação indiretos, como consultas WHOIS ou verificação por e-mail, que se mostraram vulneráveis a explorações (por exemplo, o ataque RCE-para-tomada-de-domínio da WatchTowr).

Os métodos modernos de DCV utilizam mecanismos de desafio-resposta, como a inserção de um valor aleatório em um registro DNS TXT ou o uso do protocolo Automated Certificate Management Environment (ACME) (RFC 8555). Essas abordagens oferecem garantias mais fortes e auditáveis de propriedade de domínio, além de permitir automação para uma gestão mais ágil do ciclo de vida dos certificados.

Métodos de Validação Depreciados

Os seguintes métodos legados de DCV serão eliminados sob os novos requisitos:

Validação Baseada em E-mail (Descontinuada)

  • E-mail, Fax, SMS ou Correio Postal para Contato de Domínio
  • E-mail, Fax, SMS ou Correio Postal para Contato de Endereço IP
  • E-mail Construído para Contato de Domínio
  • E-mail para Contato DNS CAA
  • E-mail para Contato DNS TXT

Validação Baseada em Telefone (Descontinuada)

  • Contato Telefônico com Contato de Domínio
  • Contato Telefônico com Contato de Telefone em Registro DNS TXT
  • Contato Telefônico com Contato de Telefone em DNS CAA
  • Contato Telefônico com Contato de Endereço IP

Validação por Consulta Reversa (Descontinuada)

  • Validação de Endereço IP
  • Consulta Reversa de Endereço

Impacto e Mudança na Indústria

Embora essas mudanças sejam transparentes para os usuários finais, elas reduzem significativamente as superfícies de ataque ao eliminar a dependência de sinais de validação indiretos ou desatualizados – como dados WHOIS obsoletos ou infraestrutura herdada. A mudança está alinhada com o roteiro "Moving Forward, Together" do Google, introduzido em 2022, que enfatiza a modernização da infraestrutura de segurança por meio de automação e protocolos padronizados, como o ACME.

Para operadores de sites, a descontinuação gradual oferece um período de transição de vários anos para adotar métodos de DCV mais robustos. As organizações são incentivadas a:

  • Migrar para a emissão de certificados baseada em ACME (por exemplo, Let’s Encrypt) para validação automatizada e criptograficamente segura.
  • Auditar fluxos de trabalho existentes de emissão de certificados para identificar e substituir métodos de DCV depreciados.
  • Utilizar desafios baseados em DNS (por exemplo, registros DNS TXT) para uma verificação de domínio mais resiliente.

Implicações Mais Amplas de Segurança

Esta iniciativa faz parte de um esforço mais amplo da indústria para elevar o padrão mínimo de segurança para certificados HTTPS. Ao eliminar métodos de validação mais fracos, o CA/Browser Forum e o Chrome Root Program estão reduzindo o risco de emissão fraudulenta de certificados, que poderia, de outra forma, permitir ataques man-in-the-middle (MITM) ou spoofing de domínio. As mudanças também promovem agilidade e resiliência na gestão de certificados, permitindo respostas mais rápidas a ameaças emergentes.

À medida que a web evolui, essas atualizações garantem que os mecanismos de confiança acompanhem os desafios de segurança modernos – beneficiando todos os usuários, independentemente do navegador ou plataforma.

Leitura Adicional:

Compartilhar

TwitterLinkedIn