Introdução
Nem toda “autoridade” merece esse nome. No universo da segurança digital, a palavra “autoridade” tem peso: uma Autoridade Certificadora (CA) garante que conexões HTTPS sejam seguras, confiáveis e invioláveis. Mas e quando a própria CA resolve burlar as regras do jogo? Foi o que aconteceu com a WoSign, protagonista de uma das maiores vergonhas da história da infraestrutura da internet.
A treta começa: certificados para domínios que não eram seus
Em 2015, um pesquisador descobriu que a WoSign emitiu um certificado válido para github.com sem qualquer autorização. Para uma CA, isso é equivalente a dar um passaporte diplomático para um golpista. Se um atacante tivesse esse certificado, poderia forjar um site idêntico ao GitHub e fazer ataques MITM (man-in-the-middle) contra desenvolvedores e empresas no mundo todo.
Compra secreta da StartCom
A WoSign adquiriu em segredo a também-CA StartCom, conhecida por emitir certificados SSL gratuitos. Em vez de divulgar a compra (como mandam as boas práticas), manteve tudo escondido e continuou emitindo certificados em nome da StartCom, driblando auditorias e controles de qualidade.
Isso foi descoberto pela comunidade, e a transparência da operação foi completamente destruída.
Fraude cronológica: o backdating
Para escapar de novas exigências de segurança impostas em 2016, a WoSign passou a emitir certificados com datas retroativas (“backdating”). Na prática, isso permitia que certificados fossem emitidos com tecnologia obsoleta e sem validação adequada, fingindo que haviam sido criados antes das novas regras.
Era como se a CA usasse máquina do tempo pra trapacear a regulação.
Falhas internas grotescas
Auditorias revelaram que a infraestrutura interna da WoSign era caótica:
- Falta de controle sobre as chaves privadas
- Validações automáticas falhas
- Logs inconsistentes e rastreabilidade comprometida
- Emissão de certificados wildcard sem validação real
A queda: remoção total da confiança
Entre 2016 e 2017, todas as grandes empresas da web tomaram uma medida drástica:
- Mozilla Firefox: removeu a confiança nos certificados WoSign/StartCom
- Google Chrome: bloqueou certificados emitidos por eles após uma data de corte
- Apple, Microsoft, Oracle: seguiram o mesmo caminho
Com isso, qualquer site usando certificados da WoSign passou a exibir erros críticos de segurança, como se estivesse usando certificados forjados.
O que aprendemos com isso?
- Nem toda CA merece confiança
- Auditorias e transparência são essenciais
- Segurança sem fiscalização é utopia
Situação atual
A WoSign e a StartCom estão, na prática, mortas para a internet moderna. Seus certificados não são reconhecidos por browsers, sistemas operacionais e APIs modernas.
Se você vê um certificado emitido por uma dessas duas hoje, corra. Ou, melhor: bloqueie.
Referências técnicas
- Mozilla CA Incident Report #49: https://wiki.mozilla.org/CA:WoSign_Issues
- Google Security Blog: https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
- CAB Forum discussions: https://cabforum.org/
Finalizando
A história da WoSign é um lembrete brutal: a confiança é o ativo mais valioso da internet. Quando uma Autoridade Certificadora quebra essa confiança, o prejuízo é global.
Segurança não é sobre parecer sólido. É sobre ser fiscalizado o tempo todo.