Naquilo que parece ser mais um capítulo na conturbada relação entre a Google e Symantec (ver “Symantec emitiu certificados digitais não autorizados para sites Web“), a Google anunciou que os seus produtos deixarão de confiar na hierarquia de confiança “Class 3 Public Primary CA” dos certificados digitais emitidos pela Verisign.

Esta situação vem na sequência da Symantec ter indicado que a partir de 1 de Dezembro de 2015, a hierarquia de confiança com base na Entidade de Certificação raiz “Class 3 Public Primary CA” deixaria de estar de acordo com os requisitos do CA/Browser Forum (CA/Browser Forum’s Baseline Requirements). Como esses requisitos reflectem as melhores práticas da indústria e são o alicerce para a confiança nos certificados digitais, a Google decidiu que certificados emitidos numa hierarquia de confiança que não está de acordo com esses requisitos colocam um risco inaceitável para os utilizadores dos seus produtos, pelo que deixarão de ser confiáveis no Chrome, Android e outros produtos da Google.

Na prática, para os utilizadores em geral, isto significa que sempre que acedam a um site https com certificados emitidos na hierarquia “Class 3 Public Primary CA” da Verisign, aparecerá um aviso de que estão a aceder a um site que não é confiável.

Como a Symantec não está disposta a indicar as novas finalidades dos certificados emitidos na hierarquia “Class 3 Public Primary CA” da Verisign, é possível que outros browsers e sistemas operativos venham a anunciar decisões similares, já que não é possível garantir que esses certificados não sejam usados para interceptar, interromper ou impersonificar a comunicação segura entre os browsers e sites Web (ou mais genericamente entre aplicações cliente e servidores, no acesso a páginas web, comunicações de mail, posts nas redes sociais, serviços de mensagens e de voz IP/pela Web, etc.).

Por outro lado, a Symantec pode estar apenas a querer ter uma hierarquia de confiança para emitir certificados para sites e serviços em redes internas das empresas com IPs de redes privadas (endereços IP na gama 10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255 e 192.168.0.0 – 192.168.255.255) não acessíveis pela Internet, já que tal não é permitido pelo CA/Browser Forum’s Baseline Requirements. Contudo o facto da Symantec não indicar explicitamente que é essa a razão, abre as portas a muitas “teorias da conspiração”.

---

Dados Técnicos da Entidade de Certificação raiz da hierarquia de confiança

• Nome simples: Class 3 Public Primary Certification Authority
• Nome único do Titular: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority
• Hash (SHA-1) da chave pública: E2:7F:7B:D8:77:D5:DF:9E:0A:3F:9E:B4:CB:0E:2E:A9:EF:DB:69:77
• Hash (SHA-256) da chave pública: B1:12:41:42:A5:A1:A5:A2:88:19:C7:35:34:0E:FF:8C:9E:2F:81:68:FE:E3:BA:18:7F:25:3B:C1:A3:92:D7:E2