Home > Notícias

Microsoft apóia nova tecnologia de certificação anti-phishing

Ao acessar site certificado no padrão EV SSL, barra de endereços do IE fica verde, indicando que a página é confiável

Por Robert McMillan, para o IDG Now!*

26/01/2007 às 15h17

Foto:

Ao acessar site certificado no padrão EV SSL, barra de endereços do IE fica verde, indicando que a página é confiável

A Microsoft e parceiros da indústria estão trabalhando para aumentar o nível de segurança da internet com uma nova tecnologia de combate ao phishing.

Na Conferência RSA 2007, que acontecerá de 5 a 9 de fevereiro, em São Francisco, nos Estados Unidos, a gigante de software planeja anunciar que diversos sites passaram por um novo processo de certificação desenvolvido para dificultar o trabalho de clonagem feito pelos phishers para capturar informações financeiras e senhas de internautas. O processo dá a autoridades certificadoras independentes, como VeriSign e Entrust, um conjunto mais limitado de instruções a seguir na autenticação de sites.

O resultado do processo é o certificado Extended Validation Secure Sockets Layer (EV SSL), que pode ser usado por sites para ajudar a assegurar aos internautas de que estão entregando suas informações privadas para um site legítimo.

A Microsoft está à frente de outros fabricantes de navegadores no apoio dos certificados EV SSL, que funcionará com o Internet Explorer 7 até o fim deste mês. Mas para que a tecnologia deslanche, precisará ser também adotada amplamente por diversos sites.

A Microsoft planeja mostrar que isso está acontecendo, disse Markellos Diorinos, gerente de produto da equipe do IE. "Estamos conseguindo mais e mais nomes que apoiarão o EV SSL, e anunciaremos os primeiros na RSA”, disse.

Sites que receberem o certificado terão um visual um pouco diferente dos sites seguros de hoje em dia, que geralmente exibem um pequeno ícone de cadeado no browser.

Quando o IE acessar um site que apóia o padrão EV SSL, ainda haverá o ícone mencionado, mas, além disso, a barra de endereços ficará verde. O usuário ainda poderá ver em que país a página está hospedada e quem a certificou.

Sites compram esses certificados de autoridades que, em troca, seguem a trilha da página: assegurando que está registrada com autoridades legais, que o endereço é legítimo e que está realmente no controle do domínio virtual em questão, por exemplo. Em alguns casos, a autoridade certificadora pode até enviar um representante para verificar se o negócio é o que diz ser.

“Se você é uma companhia sem um histórico jurídico confiável, não terá um desses”, disse Tim Callan, gerente de produto da unidade de negócios da VeriSign. “Se for uma corporação ou for registrado como instituição de caridade, não terá o que temer”.

A VeriSign oferece certificados EV SSL desde 11 de dezembro, e já tem mais de 300 empresas passando pelo processo. Cerca de 20 delas já receberam certificados, disse Callan.

Os certificados certamente interessam a sites que são alvo de phishers. A Wells Fargo & Co. ajudou a desenvolver o padrão EV SSL, e a PayPal, da Ebay, recentemente adotou os certificados nas páginas inicial e de histórico.

Ainda assim, há detalhes a serem trabalhados. Uma questão sem resposta é se sites menores que não foram copiados por criminosos estão dispostos a pagar por esses certificados.

Há também questões técnicas que precisam ser trabalhadas pelos fabricantes de navegadores. Como, por exemplo, se o EV SSL vai lidar com tipos de caracteres internacionais e como vai lidar com duas companhias de diferentes países que, eventualmente, tenham o mesmo nome.

“Há muitas questões abertas”, disse Window Snyder chefe de estratégia de segurança da Fundãção Mozzila, em uma mensagem instantânea. A equipe do Firefox provavelmente esperará até que a versão 3.0 de seu browser seja lançada, ainda este ano, para que essas questões possam ser resolvidas, disse.

*Robert McMillan é editor do IDG News Service, em São Francisco.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail