Regina Tupinambá

Certificado Digital Destaques Notícias Regina Tupinambá TLS e SSL

Entenda porque o Google deixará de exibir cadeados nas páginas HTTPS – Por Regina Tupinambá

By Regina Tupinambá25 de maio de 20189 Mins Read

Google deixa de exibir cadeados nas páginas com HTTPS

Agora empresas que figuram na internet, ou aplicam um certificado SSL | TLS em seus sites ou é melhor sairem do mundo On-line. Simples assim.

Por Regina Tupinambá

Regina Tupinambá, cofundadora do Crypto ID

Google marcará todos os sites HTTP – Hypertext Transfer Protocol – como “não seguros” a partir de 25 julho de 2018, a nova versão 68.

Deixará também de marcar páginas HTTPS como “seguras” e o texto “seguro” da barra de endereço, começando com o Chrome 69 em setembro.

Conforme o Google explicou, a estratégia por trás desse movimento é que as pessoas esperem como padrão as páginas seguras. Ou seja, a exceção será o site não seguro.

As pessoas serão alertadas pelo Google quando estiverem navegando em sites não seguros.

A retirada dos cadeados vem em sequência a uma séria de ações implementadas pelo Google, e outras empresas do segmento, para privilegiar sites que mantém canais de criptografia entre usuários e servidores web que armazenam informações sobre perfis e transações.

Desde que começou a campanha contra sites não seguros em 2015, houve um aumento significativo do número de empresas que passaram a adotar os protocolos de segurança – Certificados digitais SSL – Secure Socket Layer e TLS – Transport Layer Security, conforme o relatório divulgado pelo Google.

A Netcraft, empresa inglesa de serviços de segurança na internet que fornece ao mercado desde 1995 pesquisa e análise sobre SSL, em seu relatório publicado em março de 2018 apontou que atualmente existem mil vezes mais certificados digitais SSL na web que em 1996.

Eles têm como parâmetro para a pesquisa certificados SSL válidos usados em servidores da Web voltados para o público, contando cada certificado uma vez, mesmo se usado em vários servidores ou sites. Não são considerados, portanto, certificados SSL utilizados para outros fins como servidores internos e outros tipos de aplicações.

A criptografia impede a intercepção dos dados e garante a integridade das informações enviadas e recebidas e deveria ser aplicada a todos os servidores que mantém algum tipo de informação ou a empresas que precisam se identificar de forma inquestionável aos visitantes como empresas de notícias. Isso contribuiria muito para se evitar o Fake News.

Os obstáculos à adoção dos protocolos de segurança

Existem alguns países que proíbem a criptografia completa do tráfego da Web. Algumas empresas e organizações não se empenham em ter recursos humanos para implementar o HTTPS.

Porém o mais crítico é a falta de entendimento do que são os protocolos de segurança SSL e TLS por parte das empresas que se instalam na internet.

O Google anunciou no início do ano que marcaria as páginas como “inseguras” a partir do Chrome 68 em julho. Chrome 68 aponta que sites sem HTTPS são inseguros – Isso basta?

O Chrome 69 em setembro deixará de exibir o cadeado da barra de endereço e o texto “seguro”.

Em outubro, o Chrome 70 começará a exibir um aviso vermelho “não seguro” quando as pessoas inserirem dados em páginas HTTP.

Segundo o Google marcar em vermelho sites inseguros, há pouco tempo, era um esforço muito maior que atualmente porque o número de sites sem o HTTPS era alto demais.

O Google tomou outras medidas para incentivar o uso de HTTPS. Uma das medidas a empresa classificou sites com HTTPS mais altos em seus resultados de pesquisa.

Como tornar um site HTTPS?

Para proteger um site, é necessário que a organização adquirira um certificado SSL ou sua evolução que é o TLS para instalar na porta do servidor em que o site está hospedado.

Um terceiro confiável, chamado de Autoridade Certificadora – AC é quem garante a autenticidade do Certificado Digital SSL, para que os visitantes possam ter certeza de onde estão.

Como escolher uma Autoridade Certificadora?

A primeira coisa que o comprador deve ter em mente ao comprar um Certificado Digital SSL é que o mais importante a ser analisado são os procedimentos da Autoridade Certificadora que vai emitir o certificado. Autoridade Certificadora vende CONFIANÇA que se reflete diretamente em todos os processos que envolve o ciclo de vida dos certificados a começar pela validação das informações de propriedade de domínio.

Pode-se conferir se uma Autoridade Certificadora é confiável de diversas maneiras, mas minha dica é que você verifique se a Autoridade Certificadora segue os procedimentos padrão do mercado mundial para a emissão dos SSLs.

Verifique por exemplo, se a Autoridade Certificadora em seu site possui um selo válido da Webtust que é a entidade mundial número um em auditoria das Autoridades Certificadoras de primeiro nível.

Pode também conferir se a Autoridade Certificadora é membro do CA Browser Forum – Organização fundada em 2005 que reuni fornecedores de software de navegação na Internet e fornecedores de outros aplicativos que usam certificados digitais X.509 v.3 para SSL / TLS e assinatura de código.

Na composição de preços dos Certificados Digitais a validação das identidades é o que representa o maior peso, portanto, desconfie de certificados digitais baratos e muito mais dos gratuitos.

Além de fornecedores de SSL gratuitos, as organizações também podem assinar seus próprios certificados. Nesses dois casos, os dados serão criptografados, mas os certificados autoassinados e os DV – que apenas fazem a validação de domínio, serão inúteis para os visitantes que não podem ter certeza de que seu site é realmente o que pretendiam visitar.

Tipos de certificados de segurança da web

Aqui segue um resumo dos tipos de certificados SSL /TLS

1- Auto-assinados – self-signed – Certificados gerados pela própria empresa. São de uso interno e não possuem interoperabilidade com os navegadores de internet.

2 – Validação de Organização – fully authenticated – A Autoridade Certificadora valida se a empresa solicitante do Certificado SSL é proprietária do domínio configurado na solicitação do Certificado, se a entidade é legalmente constituída e se a pessoa que solicitou certificado tem poder para efetuar o pedido.

Para as operações no comércio eletrônico, os certificados com Validação de Organização – fully authenticated – são os mais indicados por proporcionarem maior segurança à empresa, aos usuários e aos clientes.

Além de certificar que a empresa está legalmente constituída, este tipo de certificado assegura que a mesma está em operação e que o domínio do Certificado é de sua propriedade.

O Certificado de validação de organização tem um segundo tipo que é o SSL/TLS EV – Extended Validation.

Neste caso o processo de validação apresenta etapas adicionais de checagem da ID de propriedade de domínio e por isso tem um custo mais elevado.

3- Validação de domínios – Valida apenas se o domínio existe. Não confere a propriedade do domínio.

É importante observar também que os Certificados Digitais de Validação de Domínio – domain validated não trazem valor às relações de confiança na internet. Pelo contrário, confundem os visitantes que imaginam estar seguros pela presença da criptografia.

Na verdade, a criptografia pode estar levando os dados diretamente para hackers. São certificados muito frágeis pela falta de processo de verificação de propriedade, pois só faz a criptografia dos dados, não cumprindo a função fundamental de um Certificado Digital que é identificar a titularidade para o qual o Certificado é emitido.

Acredito que em breve isso será um dos fatores observados pelo Google para próximas medidas que incentivam a internet segura.

Os Certificados de validação de domínios são utilizados por sites muito pequenos e por empresas que iniciam no e-commerce. O preço de mercado é muito inferior aos SSLs, pois é emitido por máquinas sem nenhuma interação humana.

4 – Certificados WildCards – Outro tipo de certificado não recomendável ao e-commerce são os chamados Certificados WildCards, pois permitem que uma única chave seja instalada em mais de um servidor.

Não deve ser utilizado por empresas que movimentam muitas informações sensíveis de clientes, pois segue na direção contrária das boas práticas de segurança da informação. Não é comum, mas algumas empresas de porte utilizam este tipo de certificado em servidores internos, porém possuem políticas de segurança de alto nível e fazem o gerenciamento das chaves com rigorosos processos de segurança lógica e física.

5 – Certificados Digitais para os Múltiplos Domínios – Certificados Digitais para os Múltiplos Domínios, são utilizados para o uso em soluções baseadas em Comunicações Unificadas (Unified Communications), como por exemplo, Microsoft Exchange e Live Communications Server.

Uma das características deste certificado é permitir a inclusão, no campo Subject Alternative Name (SAN), vários endereços de internet, intranet e IP’s adicionais. Com este certificado, as soluções baseadas em Comunicações Unificadas conseguem estabelecer conexões seguras (SSL/TLS) com todos os endereços e/ou IP’s que estão presentes no Certificado (Campos:Common Name e SAN).

Diante de tantas opções é muito importante que ao decidir por um certificado digital as empresas verifiquem se a Autoridade Certificadora responsável pela comercialização do Certificado SSL segue as boas práticas de segurança e se é auditada por terceiros de “boa fé”.

A Certificação Digital é baseada numa cadeia de confiança até chegar ao usuário final, mas, muitas Autoridades Certificadoras criadas recentemente para baratear o preço dos Certificados SSL e ganhar mercado, promovem o uso dos certificados sem verificação de propriedade do uso de domínio, sem falar nos certificados gratuitos.

Como diz o dito popular, não existe almoço grátis, então sempre desconfie porque se o serviço é grátis, o produto provavelmente é você.

Para finalizar, acreditamos nas ações do Google para tornar a internet um meio mais confiável para que pessoas e empresas se relacionem. Estamos sempre atentos aqui no Crypto ID a esse tipo de ação porque acreditamos nas relações eletrônicas confiáveis.

Regina Tupinambá | CCO – Chief Content Officer – CryptoID. Publicitária formada pela PUC Rio, desde 1995 se dedica ao comércio eletrônico e em 1999 entrou para o universo da Certificação Digital. Dirigiu diversas áreas da Autoridade Certificadora Certisign. No âmbito da ICP-Brasil acompanhou a criação da AC Raiz, e participou diretamente da homologação de muitas Autoridades Certificadoras e Autoridades de Registro. É CEO da Insania Publicidade e como CCO do Portal CryptoID, dirige a área de conteúdo do Portal.

Compartilhe:

ÚLTIMAS NOTÍCIAS

Carreiras

Dahua Technology apresenta o Seminário Educatech no Brasil

By Ariadni Stangherlin Mamede16 de novembro de 2024

Como CIOs estão otimizando o poder da IA. Por Marta Sanchez

15 de novembro de 2024

Inovação em monitoramento revoluciona segurança e performance na Porsche Cup

15 de novembro de 2024

Gartner anuncia as principais previsões para empresas e usuários de TI para 2025 e os próximos anos

15 de novembro de 2024

Proteção de dados, conformidade jurídica e experiência do cliente: Webinar Gratuito com especialistas sobre desafios do setor financeiro para 2025

14 de novembro de 2024

Segurança em Alta: Uma Conversa com o CIO do RIOgaleão sobre os Desafios do Fim de Ano

14 de novembro de 2024

A Internet das Coisas e a transformação digital cada vez mais presente

14 de novembro de 2024

Proteger infraestruturas críticas nunca foi tão urgente. Por Sergio Muniz

14 de novembro de 2024

Receba novidades

Cadastre-se em nossa newsletter e fique ligado em tudo que acontece no Crypto ID.

Eventos

novembro, 2024

Filtrar eventos

Ordenar por:

Data

Título

Cor

Postado

Tipo de evento:

Todos

Local do evento:

Todos

Organizador do evento:

Todos

12nov(nov 12)08:0013(nov 13)18:006G Briefing 2024moldando o futuro da Conectividade08:00 - 18:00 (13) MIS - MUSEU DA IMAGEM E DO SOM - SÃO PAULO, Av. Europa, 158 - Jardim Europa, São Paulo - SP, 01449-000

Mais

Detalhes do evento

Shaping the future Connectivity

O 6G Briefing é uma importante conferência de tecnologia empresarial de dois dias, projetada para unir a vanguarda do setor empresarial, academia, organizações de padronização e startups inovadoras.

O “6G Briefing” não é apenas um evento; é um fórum para iniciar diálogos, firmar parcerias e preparar o cenário para a implantação global do 6G .

Os participantes terão insights inigualáveis sobre as tecnologias, políticas e estratégias que definirão o futuro da comunicação sem fio.

Este evento acontece em São Paulo, Brasil, uma das maiores e mais inovadoras cidades da América Latina. Com um PIB rico e status como um centro de negócios, São Paulo é o local perfeito para discutir o futuro das redes 6G, que devem revolucionar a conectividade até 2030.

SESSÕES E PAINÉIS

O programa abrangente incluirá painéis industriais, governamentais e acadêmicos, apresentando insights e previsões sobre o futuro dos esforços de pesquisa e desenvolvimento (P&D) e padronização do 6G.

Os participantes terão a oportunidade de explorar uma variedade de tópicos

INOVAÇÕES E DESAFIOS NA TECNOLOGIA 6G

ALOCAÇÃO E AQUISIÇÃO DE ESPECTRO
Navegando pelos desafios e estratégias para o uso ideal do espectro.

COMPUTAÇÃO EM NUVEM E EDGE
Revelando a sinergia entre os paradigmas 6G e de computação descentralizada.

IA E APRENDIZADO DE MÁQUINA
Aproveitando a IA para melhorar a eficiência e os recursos da rede

NOVOS MATERIAIS
Inovações na ciência dos materiais que podem revolucionar o hardware de rede

SATÉLITES
O papel da tecnologia de satélite na extensão do alcance e da resiliência das redes 6G

FATIAMENTO DE REDE E SERVIÇOS CRÍTICOS
Personalização de redes para atender às demandas de diversas aplicações.

O FUTURO DA PRIVACIDADE E DA SEGURANÇA DE DADOS
Garantindo proteção robusta na era hiperconectada do 6G

INFRAESTRUTURA DE REDE
Avanços arquitetônicos para dar suporte a recursos 6G

COMPUTAÇÃO QUÂNTICA
Explorando o impacto das tecnologias quânticas na comunicação sem fio

CASOS DE USO 6G
Imaginando as aplicações e serviços habilitados pela tecnologia 6G

MÍDIA E TRANSMISSÃO
Esta sessão explorará o futuro da preservação de arquivos de mídia e filmes

ÉTICA E ODS NO MUNDO 6G
Abordando as considerações éticas e os objetivos de sustentabilidade no contexto 6G

OBJETIVOS

O objetivo principal do 6G Briefing é dar início às discussões do roteiro para padronização futura em linha com as iniciativas de 2024 da International Telecommunication Union (ITU). Esta conferência tem como objetivo:

Promova conexões entre líderes do setor, executivos de nível C, pesquisadores acadêmicos renomados, organizações governamentais e startups inovadoras.
Incentive discussões aprofundadas sobre tópicos acadêmicos e empresariais atuais relacionados ao desenvolvimento do 6G.
Destaque as últimas pesquisas e desenvolvimentos, esforços de padronização e possíveis casos de uso para a tecnologia 6G.

PRÉ INSCRIÇÃO

compra de ingressos

QUEM ESTARÁ LÁ

– Líderes do setor e executivos de nível C: visionários na vanguarda dos avanços da tecnologia sem fio.

– Pesquisadores acadêmicos renomados: as mentes que moldam os fundamentos teóricos do 6G.

– VPs, diretores, engenheiros e arquitetos: aqueles que estão orquestrando a transição para redes de última geração.

– Organizações governamentais e pesquisadores: formuladores de políticas e pensadores que influenciam a direção regulatória e da pesquisa.

– Instituições de pesquisa: Centros de inovação e descoberta na área de comunicações sem fio.

Compartilhe:

Hora

12 (Terça) 08:00 - 13 (Quarta) 18:00

Localização

MIS - MUSEU DA IMAGEM E DO SOM - SÃO PAULO

Av. Europa, 158 - Jardim Europa, São Paulo - SP, 01449-000

Organizador

Hansecom

MIS - MUSEU DA IMAGEM E DO SOM - SÃO PAULOAv. Europa, 158 - Jardim Europa, São Paulo - SP, 01449-000

Calendário GoogleCal

Entenda porque o Google deixará de exibir cadeados nas páginas HTTPS – Por Regina Tupinambá

Google deixa de exibir cadeados nas páginas com HTTPS

Agora empresas que figuram na internet, ou aplicam um certificado SSL | TLS em seus sites ou é melhor sairem do mundo On-line. Simples assim.

Os obstáculos à adoção dos protocolos de segurança

Como tornar um site HTTPS?

Como escolher uma Autoridade Certificadora?

Na composição de preços dos Certificados Digitais a validação das identidades é o que representa o maior peso, portanto, desconfie de certificados digitais baratos e muito mais dos gratuitos.

Tipos de certificados de segurança da web

ÚLTIMAS NOTÍCIAS

Receba novidades

Eventos

Detalhes do evento

Detalhes do evento

Shaping the future Connectivity

SESSÕES E PAINÉIS

INOVAÇÕES E DESAFIOS NA TECNOLOGIA 6G

OBJETIVOS

QUEM ESTARÁ LÁ

Hora

Localização

Organizador

CADASTRE-SE EM NOSSA NEWSLETTER