A Corroboração de Emissão Multi-Perspectiva (MPIC) é uma melhoria de segurança para a emissão de certificados digitais. Ela exige que as autoridades certificadoras (CAs) realizem validação de domínio e verificações de Autorização da Autoridade Certificadora (CAA) a partir de múltiplas localizações de rede, geográfica e topologicamente distintas, em vez de apenas uma.
Essa abordagem é projetada para mitigar o risco de ataques sofisticados—particularmente o sequestro do Protocolo de Roteamento de Fronteira (BGP)—que podem manipular os métodos de validação tradicionais de localização única.
Se você é um profissional de TI, deve se importar com o MPIC, pois ele impacta diretamente a segurança e a confiabilidade dos certificados digitais usados para proteger websites, e-mails e outros serviços online dos quais sua infraestrutura de TI depende.
O MPIC torna significativamente mais difícil para os atacantes explorarem vulnerabilidades de rede—como sequestros de BGP ou DNS—para obter certificados fraudulentamente para domínios que não controlam. O MPIC ajuda a prevenir ataques de man-in-the-middle, vazamentos de dados e a perda de confiança na presença digital da sua organização.
À medida que o MPIC se torna um requisito da indústria, as equipes de TI precisarão garantir que sua infraestrutura e processos sejam compatíveis com esses novos padrões de validação para manter a conformidade e evitar interrupções nos serviços.
O MPIC protege os ativos digitais da sua organização, fortalece sua postura de segurança e garante conformidade com as melhores práticas da indústria em evolução.
Pesquisas e incidentes do mundo real mostraram que atacantes podem explorar fraquezas na infraestrutura de roteamento da internet (BGP) para redirecionar o tráfego de validação, potencialmente fazendo com que as CAs emitam certificados para partes não autorizadas.
Essa ameaça também é conhecida como sequestro de BGP, sequestro de prefixo, sequestro de rota ou sequestro de IP. É a apropriação ilegítima de grupos de endereços IP ao corromper tabelas de roteamento da Internet usando o Protocolo de Roteamento de Fronteira (BGP).
72% dos domínios eram vulneráveis a sequestros de subprefixo de BGP, permitindo que atacantes redirecionassem o tráfego de validação e enganassem as Autoridades Certificadoras (CAs) para emitirem certificados fraudulentos.
70% dos domínios eram suscetíveis a ataques de mesmo prefixo, permitindo que adversários se fizessem passar por redes legítimas.
Todas as cinco principais CAs foram consideradas vulneráveis a fraudes de certificados baseadas em BGP antes dos esforços de mitigação, conforme demonstrado em experimentos de hacking ético.
Os incidentes de sequestro de BGP ocorrem com frequência notável e permanecem uma ameaça persistente à segurança da internet global. Dados recentes fornecem um quadro claro de quão frequentemente esses eventos acontecem:
Essas estatísticas indicam que o sequestro de BGP não é um evento raro—os incidentes ocorrem diariamente, afetando uma ampla gama de organizações, incluindo grandes empresas como MasterCard, Amazon e Google, além de operadoras de telecomunicações nacionais. O número real pode ser ainda maior, já que alguns eventos passam despercebidos ou não são relatados.
O MPIC está sendo padronizado pelo CA/Browser Forum (CABF) e se tornando um requisito para a emissão de certificados publicamente confiáveis, incluindo certificados TLS e em breve, S/MIME.
CAs importantes como Let’s Encrypt e Google Trust Services já implementaram formas de MPIC, e a aplicação em toda a indústria é esperada até setembro de 2025.
O registro de Autorização da Autoridade Certificadora do DNS (CAA) foi introduzido em 2013 para ajudar a prevenir a emissão não autorizada de certificados e se tornou obrigatória para CAs públicas em setembro de 2017. Esse registro permite que os proprietários de domínios especifiquem quais CAs estão autorizadas a emitir certificados para seus domínios, ajudando a reduzir o risco de uso indevido e Shadow IT.
Se não existir um registro CAA para um domínio, qualquer Autoridade Certificadora pública pode emitir certificados para esse domínio seguindo a validação padrão do domínio, conforme prescrito pelo CA/Browser Forum.
No entanto, se um registro CAA estiver presente, apenas aquelas Autoridades Certificadoras explicitamente listadas no registro estão autorizadas a emitir certificados para o domínio, adicionando uma camada importante de controle e segurança.
| Recurso | Validação Tradicional | Validação MPIC |
|---|---|---|
| Localização da Validação | Ponto de rede único | Múltiplos pontos distribuídos globalmente |
| Resistência a Ataques | Vulnerável a sequestros locais de BGP/DNS | Resistente a ataques localizados |
| Requisito da Indústria | Opcional/legado | Tornando-se obrigatório (CABF Ballot SC-067) |
| Emissão de Certificado | Prossegue em checagem única | Exige corroboração de todas as perspectivas |
Tabela Resumo: MPIC vs. Validação Tradicional
A Corroboração de Emissão Multi-Perspectiva (MPIC) é uma estrutura sofisticada projetada para aprimorar a validade e a integridade da troca de informações em diversas plataformas. As funcionalidades principais do MPIC giram em torno de três áreas centrais.
A implementação da Corroboração de Emissão Multi-Perspectiva (MPIC) traz um conjunto robusto de vantagens de segurança que melhoram significativamente a integridade dos processos de emissão de certificados. Ao aproveitar várias perspectivas de rede independentes para validação, o MPIC estabelece um novo padrão em segurança de certificados que aborda diversas vulnerabilidades tradicionais, ao mesmo tempo em que fortalece a confiabilidade geral da infraestrutura de chave pública.
Benefícios de segurança adicionais:
A Corroboração de Emissão Multi-Perspectiva (MPIC) implementa uma estrutura de validação sofisticada que aproveita múltiplos pontos de vista na rede para garantir a segurança e a autenticidade dos processos de emissão de certificados. Essa abordagem distribuída melhora significativamente a confiabilidade da validação de domínio e ajuda a prevenir várias formas de ataques em nível de rede.
Aqui está uma descrição detalhada de como o MPIC opera:
A Validação de Controle de Domínio (DCV) é um componente crítico do processo de emissão de certificados, e o MPIC aumenta a segurança dessas validações aplicando sua abordagem multi-perspectiva a todos os métodos de validação padrão. Ao implementar o MPIC em vários métodos de DCV, as Autoridades Certificadoras garantem validações consistentes e confiáveis, independentemente da técnica de verificação escolhida. Essa cobertura abrangente assegura que os benefícios de segurança da validação multi-perspectiva sejam mantidos em todos os cenários de emissão de certificados.
A validação de domínio baseada em DNS comumente envolve a inserção de uma string de validação específica em um registro DNS TXT. Alternativamente, um registro DNS CNAME pode ser usado para redirecionar as verificações de validação para um servidor web confiável controlado pelo solicitante do certificado, permitindo fluxos de trabalho de validação flexíveis e seguros.
O MPIC se aplica a todos os principais métodos de DCV, incluindo:
Todos esses são métodos de validação comumente utilizados que estão sujeitos aos requisitos do MPIC. Cada um desses métodos se beneficia da camada adicional de segurança que a validação multi-perspectiva fornece.
A adoção da Corroboração de Emissão Multi-Perspectiva (MPIC) segue um cronograma de implementação faseado estabelecido pelo CA/Browser Forum e pelos principais fornecedores de navegadores, com o objetivo de equilibrar melhorias de segurança com a viabilidade operacional. Essa abordagem graduada permite que as autoridades certificadoras (CAs) e as partes confiáveis adaptem sua infraestrutura enquanto mantêm a estabilidade dos ecossistemas de emissão de certificados. O quadro de aplicação foi formalmente ratificado na votação SC067v3 (agosto de 2024) e expandido através de resoluções subsequentes do CAB Forum, com plena conformidade exigida até 2025, de acordo com os Requisitos Básicos atualizados.
Fase de Relatório (janeiro de 2024 – março de 2025):
O MPIC opera em modo de monitoramento passivo, com as CAs obrigadas a registrar discrepâncias de validação, mas não a bloquear a emissão. A Let’s Encrypt iniciou a implementação antecipada em 2020 como um projeto de prova de conceito (conforme seu post no blog de 2020).
Fase de Aplicação (31 de março de 2025 – em andamento):
Após o prazo imposto pelo Google, os certificados exigem validação MPIC a partir de ≥3 perspectivas de rede independentes. A aplicação total (≥5 perspectivas) entrará em vigor em 15 de setembro de 2025, de acordo com a Resolução 2024-87 do CAB Forum.
Disposições do Período de Graça:
As CAs podem emitir certificados não conformes para ≤5% do volume total até junho de 2026, para acomodar sistemas legados, conforme observado na documentação CSP TLS v6.1.0 da Sectigo.
O protocolo ACME, utilizado por agentes como Certbot e WinACME para automatizar a emissão de certificados, sempre consulta o registro CAA do DNS antes de solicitar certificados. Isso se aplica independentemente de a Autoridade Certificadora alvo ser pública ou privada.
Quando certificados são solicitados via ACME a partir de uma CA privada, o nome do host da CA ou o nome de domínio totalmente qualificado (FQDN) deve ser incluído no registro CAA do domínio. Isso garante que as CAs privadas também cumpram as políticas de autorização CAA, prevenindo a emissão não autorizada de certificados.
Esta seção descreve os cronogramas críticos para a conformidade com os padrões de Corroboração de Emissão Multi-Perspectiva (MPIC) e a estratégia de adoção da indústria.
Fases de Aplicação:
Até setembro de 2025, o MPIC será exigido para todos os certificados TLS publicamente confiáveis, com os certificados S/MIME seguindo em breve.
O MPIC representa um avanço significativo na segurança da emissão de certificados digitais contra novas ameaças em nível de rede.
Perspectivas de Validação:
Escopo: Aplica-se a todos os principais métodos de validação (HTTP, DNS, DCV baseado em email, ACME “http-01”/“dns-01”).
Impacto nas Organizações
Desenvolvimentos Futuros
Conclusão: O MPIC não é apenas uma atualização técnica, mas uma mudança sistêmica na segurança dos certificados, exigindo adaptação proativa das equipes de TI para manter a conformidade e impedir ataques em nível de rede cada vez mais sofisticados.
É crítico que todos os servidores DNS publicamente acessíveis operados por uma organização estejam devidamente sincronizados. Sem uma sincronização rigorosa, os pedidos de certificados públicos podem falhar a partir de setembro de 2025 devido à aplicação dos requisitos de Corroboração de Emissão Multi-Perspectiva (MPIC).
Discrepâncias nos dados DNS entre servidores, incluindo registros CAA e entradas de validação de domínio DNS, representam um risco significativo para o processo de emissão de certificados. As organizações devem garantir que os registros DNS sejam consistentes e atualizados prontamente em todos os servidores globalmente para evitar falhas de validação e negação de emissão de certificados.
Vale notar que sistemas de gerenciamento de certificados, como o KeyTalk CKMS, podem solicitar certificados PKI X.509 de principais Autoridades Certificadoras públicas, incluindo DigiCert e GlobalSign, e, portanto, estão sujeitos aos requisitos de MPIC e sincronização de DNS.
As organizações que operam múltiplos servidores DNS, especialmente aquelas distribuídas geograficamente em regiões como Europa e Ásia, devem garantir que os registros CAA e outras entradas DNS usadas para validação de domínio estejam totalmente sincronizados, com valores consistentes e baixos de TTL (Time To Live). Um TTL de 300 segundos (5 minutos) ou menos é recomendado para minimizar atrasos de propagação e prevenir inconsistências que poderiam resultar em falhas de validação.
Sem essa sincronização, diferenças nos registros DNS entre locais podem levar à falha na emissão de certificados, uma vez que as validações multi-perspectivas poderiam detectar discrepâncias e interromper o processo.
Por exemplo, um registro DNS para “domain.com” deve ser idêntico em todas as regiões onde os servidores DNS operam, como Europa e Ásia, para garantir resultados de validação consistentes durante as verificações multi-perspectivas.
Se os registros DNS forem inconsistentes ou não estiverem sincronizados entre esses múltiplos servidores, a probabilidade de as Autoridades Certificadoras públicas rejeitarem solicitações de emissão de certificados aumenta significativamente.
Neste post do blog, fizemos uma análise profunda da Corroboração de Emissão Multi-Perspectiva (MPIC), um padrão que está por vir para a emissão de certificados digitais, projetado para melhorar a segurança contra ataques sofisticados em nível de rede, como o sequestro de BGP.
Os principais pontos são:
Conclusão: O MPIC representa uma mudança fundamental na segurança dos certificados digitais. As equipes de TI e as organizações devem adaptar proativamente seus sistemas para integrar os padrões do MPIC, garantindo uma proteção robusta contra ameaças de segurança emergentes e alinhando-se às melhores práticas da indústria.
Deseja saber mais sobre como a KeyTalk pode ajudar sua organização com o MPIC? Entre em contato conosco e discutiremos os desafios e possíveis soluções.
A Equipe KeyTalk
