Classificação de risco
A classificação de risco de certificados é uma escala que avalia e define uma nota para os certificados de acordo com os seguintes critérios:
- Algoritmo de criptografia
- Tamanho da chave de criptografia
- Algoritmo de assinatura
- Autoridade certificadora
- Data de expriração do certificado
- Quantidade de dispositivos utilizando o certificado
- Responsável pelo certificado
- Status do certificado
Para cada critério, o certificado pode ganhar ou perder nota e o resultado final é a soma das notas que o certificado recebeu, chegando a classificação final do certificado.
Os certificados são classificados de acordo com a tabela de classificação de segurança.
Classificação de segurança
| Pontuação | Classificação |
|---|---|
| Maior que 80 | A |
| Entre 65 e 79 | B |
| Entre 50 e 64 | C |
| Entre 35 e 49 | D |
| Entre 25 e 34 | E |
| Entre 0 e 24 | F |
| Menor que 0 | NC (Não Confiável) |
Pra que serve
Esta classificação permite a rápida avaliação dos riscos nos ambientes em que os certificados estão em uso, traduzindo os conceitos de segurança do certificado em uma classificação de fácil entendimento para qualquer pessoa.
A classificação não restringe o uso dos certificados. Você pode definir se o certificado com nota baixa deve ser utilizado ou não em seus sistemas.
Não recomendamos a utilização de certificados com classificação baixa em ambientes produtivos.
Como funciona
A classificação de risco de certificados funciona a partir de uma distribuição de pontos baseado nos critérios de segurança de um certificado. A soma desses pontos gera um total que se encaixa em uma das faixas, dando então uma nota final.
Os critérios avaliados e escala final estão listados abaixo:
Critérios de avaliação
Algoritmo de criptografia
| Tipo | Pontos |
|---|---|
| DSA | -100 |
| Outros | 0 |
Tamanho da chave de criptografia
RSA
| Tamanho | Pontos |
|---|---|
| 4096 bits | +30 |
| 2048 bits | +20 |
| 1024 bits | +10 |
| < 1024 bits | -100 |
EC/ECDSA
| Tamanho | Pontos |
|---|---|
| 384 bits | +40 |
| 256 bits | +25 |
| 160 bits | +5 |
| < 160 bits | 0 |
Algoritmo de assinatura
| Tipo | Pontos |
|---|---|
| SHA512 | +30 |
| SHA384 | +20 |
| SHA256 | +10 |
| Outros | 0 |
Autoridade certificadora
| Tipo | Pontos |
|---|---|
| Possui CA | +10 |
| Self-signed | 0 |
Data de expiração do certificado
| Valor | Pontos |
|---|---|
| Válido | +10 |
| Expirado | -100 |
Quantidade de dispositivos utilizando o certificado
| Valor | Pontos |
|---|---|
| Entre 0 e 1 dispositivos | +10 |
| Entre 2 e 5 dispositivos | +5 |
| Mais que 5 dispositivos | 0 |
Responsável pelo certificado
| Valor | Pontos |
|---|---|
| Possui responsável | +10 |
| Não possui responsável | 0 |
Status do certificado
| Valor | Pontos |
|---|---|
| Revogado* | -100 |
| Outros | 0 |
*O certificado também é considerado revogado quando seu certificado intermediário ou raiz estiver revogado.