Últimas notícias

Fique informado
Chrome 68 aponta que sites sem HTTPS são inseguros – Isso basta?

Chrome 68 aponta que sites sem HTTPS são inseguros – Isso basta?

09/02/2018

Boa notícia para quem trabalha e acredita numa web com mais confiança em que o HTTPS garante sigilo das informações e identificação das organizações proprietárias dos sites

Regina Tupinambá – Diretora de conteúdo e co- fundadora do CryptoID

 Por Regina Tupinambá

De fato, todas as conexões HTTPS deveriam ser seguras, mas nem todas são por que nem todas atestam a identidade do site.

O movimento do Google é válido, mas é preciso mais que ensinar as pessoas a diferenciar entre HTTP e HTTPS. As pessoas precisam diferenciar sites com e sem a identidade.

O certificado digital SSL / TLS tem duas funções básicas a saber: (1) Manter um canal criptografado entre um servidor web e um navegador (browser) para garantir que todos os dados transmitidos sejam sigilosos e seguros e  (2) identificar inequivocamente a organização proprietária do site. Mas é importantíssimo ressaltar que apenas os SSL / TLS que atestam a identidade dos proprietários – certificados digitais SSL/TLS OV  – de validação de organização, de fato são seguros, ou melhor, confiáveis.

Comecei a trabalhar com SSL no início de 1999.  SSL – Secure Socket Layer, um protocolo de segurança desenvolvido pela Netscape em 1994. Nessa época as instituições financeiras, instituições de saúde e os maiores e-commerce eram as empresas que lideravam o uso dos certificados SSL no Brasil.  Mesmo entre esse seleto grupo ainda não havia o entendimento do quanto precisavam se proteger. Acreditavam que devia-se proteger apenas sites e os principais servidores web. Não priorizavam a segurança de outros servidores web que armazenavam dados de clientes, bancos de senhas, informações de estoque e histórico de transações, por exemplo.

Lembro-me que nessa ocasião em minha carteira de clientes eu tinha umas 400 empresas e não mais que 2.500 certificados emitidos.  As empresas adquiriam a quantidade mínima que julgavam necessária.

Com o tempo, o número médio de certificados SSL adquiridos por empresa cresceu. Conforme foram  apresentadas as possíveis vulnerabilidades a que suas empresas estavam expostas e as boas práticas que deveriam ser seguidas no mundo On-line, o mercado foi reagindo.

Adicionalmente os CIOs entenderam que a prática de ter uma única chave instalada em vários servidores não era uma boa solução de segurança.  Outro fator que impulsionou a adoção de SSL se deu a medita que foram sendo reveladas invasões em empresas em todas as partes do mundo.

De lá para cá se passaram praticamente 20 anos e houve, de fato, um avanço em relação a conscientização por parte da área de tecnologia dentro das empresas em praticamente todas as atividades. Nesse intervalo, no “TI” das grandes empresas foram criadas áreas especializadas em segurança da informação, o que antes só existia em poucas empresas. Desde então, esse protocolo de segurança ganhou mais relevância. Comparando com o momento atual é o que estamos assistindo em relação a Cyber Segurança e Transformação Digital. As empresas estão se remodelando e criando esses dois setores em seus organogramas.

Porém, pelo fato da absoluta maioria das pessoas –  no passado chamadas de internautas – desconhecerem as vulnerabilidades e os consequentes riscos a que estavam expostas ao acessarem sites HTTP, muitas empresas – ate hoje – por economia, aproveitam a desinformação e negligenciam com a proteção dos dados coletados.

Enquanto isso, brotaram no mercado, como ervas daninhas Autoridades Certificadoras com procedimentos duvidosos. Uma Autoridade Certificadora tem como principal pilar atuar como o “terceiro de boa fé” entre partes para garantir confiança às transações no meio eletrônico. Mas essas ACs “duvidosas” emitem o protocolo que garante a criptografia nos servidores, mas sem o compromisso da validação dos antecedentes dos compradores do SSL / TLS  – que fecha a criptografia HTTPS. Ou seja, entregam o cadeadinho e sua chave a qualquer um que pagar pelo cerificado sem saber se de fato o que será protegido com a criptografia é de propriedade de quem diz ser o proprietário.

Por uma Internet Segura

Diante disso surgiram alguns movimentos mundiais pela Internet Segura.  Em 2005 foi criada a organização CAB Forum que reúne Autoridades de Certificação (CAs), fornecedores de software de navegador de internet e fornecedores de outros aplicativos que usam certificados digitais X.509 v.3 para SSL / TLS e assinatura de código.  Um dos frutos dessa organização foi o Certificado EV – de validação estendida,  justamente para resgatar a credibilidade depositada na figura das Autoridades Certificadoras.

Durante os últimos anos, ações dos principais jogadores da Internet levaram o mercado em direção a uma web mais segura, defendendo fortemente que os sites deveriam adotar a criptografia HTTPS.  E o cerco está se fechando para quem resiste em adotar procedimentos mais seguros e confiáveis.

O novo Chrome aponta sites sem HTTPS

Foi divulgado pelo Google em seu blog sobre segurança que eles serão mais duros no alerta aos usuários sobre a segurança do sites.

Em 2017 o Google se dedicou a fazer com que os usuários entendessem que os sites HTTP não eram seguros e partir de julho de 2018 com o lançamento do Chrome 68, o Chrome marcará todos os sites HTTP como “não seguro”.

Google diz que a campanha de 2017 rendeu bons resultados

– Mais de 68% do tráfego do Chrome no Android e no Windows agora está protegido

– Mais de 78% do tráfego do Chrome no Chrome OS e no Mac agora está protegido

– 81 dos 100 melhores sites na web usam HTTPS por padrão

Para desenvolvedores

O Chrome tem se dedicado a tornar o mais simples possível a configuração do HTTPS. As auditorias de conteúdo misto estão agora disponíveis para ajudar os desenvolvedores a migrar seus sites para o HTTPS. O Lighthouse é uma ferramenta automatizada de desenvolvimento para melhorar as páginas da web. A nova auditoria no Lighthouse ajuda os desenvolvedores a descobrir quais recursos um site carrega usando o HTTP e qual deles está pronto para ser atualizado para HTTPS simplesmente alterando a referência de subresto para a versão HTTPS

A nova interface do Chrome ajudará os usuários entender que todos os sites HTTP não são seguros e com isso “forçará” o mercado a se mover em direção ao HTTPS até que a Internet segura seja o padrão.


Essa é uma excelente notícia para os que acreditam que “boas práticas ” que contribuem com a segurança devam ser adotadas na web. No entanto ainda precisamos ensinar as pessoas a identificar o HTTPS bom e o ruim.

A identificação do site é tão importante quanto a criptografia

Quando o Fórum CA / Browser (CA / B) apresentou as diretrizes para EV, eles declararam especificamente que a finalidade de um certificado SSL EV é:

a) identificar a entidade jurídica que controla um site e

b) habilitar comunicações criptografadas com um site.

O SSL EV fornece informações que o site no qual o usuário acessa é controlado por uma entidade jurídica específica identificada no Certificado EV por:  nome, endereço do local de negócios, jurisdição de incorporação ou registro e número de registro ou outra informação que ateste a identificação do proprietário de forma inequívoca.

Sites que utilizam certificados DV – de validação de domínio, a meu ver, deveriam ser sinalizados como mais inseguros que os HTTP, pois passam a ilusão de seguros facilitando a ação de bandidos virtuais.

SSL DV – O gato por lebre

Empresas  como a Let’s Encrypt emitem certificados de DV gratuitos para o mercado e isso acaba funcionando como um facilitador de ações de phishing por que fecham a conexão HTTPS.  Com isso passam por sites “seguros”.

O problema aqui é uma confusão de privacidade e identidade – o cadeado, o HTTPS neste caso apenas destinam-se a garantir a privacidade (que a conexão com o site está criptografada).

Então deveríamos voltar ao início do jogo quando a VeriSign em 1999 em seu Selo de Site Seguro doutrinava os usuários e sugeria que eles conhecessem a identidade do proprietário do site: Clique e Verifique!!

Com informações do Blog de Segurança do Google.

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

<