Chrome marca sites sem certificado como ‘não seguros’

O Google anunciou desde fevereiro que o navegador Chrome marcará todos os sites sem o “cadeado de segurança” como “não seguros” a partir do Chrome 68, que deve ser lançado em julho de 2018. O cadeado, o rótulo “seguro” e o “https” no início do endereço do site, denotam uma página que usa criptografia para impedir que o tráfego seja interceptado ou modificado por terceiros. Navegadores web sempre identificaram essas páginas ditas “seguras” de uma forma ou de outra — o símbolo mais reconhecido é o cadeado –, mas o Chrome inverterá a regra para marcar as páginas simples como “não seguras”.

Sites comuns são aqueles que trafegam pela rede de forma pura e legível em “HTTP”. Sites HTTPS utilizam criptografia para embaralhar os dados da página de tal maneira que só o navegador do visitante possa desembaralhá-la. Esse processo impede dois ataques:

1. a leitura da página por um espião que possa estar interceptando conexão;
2. adulterações: como os dados estão embaralhados, uma alteração criaria uma página corrompida.

O alerta de site “não seguro” já é exibido pelo Chrome em páginas sem criptografia que apresentam campos para a digitação de números de cartão de crédito ou senhas. Dessa maneira, o navegador dá destaque para o risco de dados serem interceptados.

A ausência de criptografia permite que qualquer página visitada, mesmo aquelas que só possuem conteúdo estático, estão sujeitas a serem interceptadas ou adulteradas quando não estiverem trafegando em uma conexão criptografada.

Muitos sites, inclusive sites de instituições financeiras até alguns anos, usavam criptografia apenas em páginas sensíveis, deixando de lado o recurso em suas páginas iniciais ou informativas. Pela nova regra do Chrome, sites que ainda fizerem isso serão marcados como “não seguros”.

Imagem: Avisos de página não segura no Firefox (superior) e Chrome. (Foto: Reprodução)

Uso de criptografia está aumentando

Além dos avisos no Chrome, o Google vem oferecendo outros incentivos para sites criptografados. Páginas criptografadas têm tido preferência em resultados de buscas, por exemplo. Esses incentivos contribuíram para o aumento da adoção da criptografia HTTPS.

De acordo com o Google, 68% do tráfego dos sites visitados por usuários do Chrome no Windows e o Android já é criptografo. Entre usuários de macOS e Chrome OS, a proporção é ainda mais alta: 78%. Dos 100 maiores sites da web, 81 já utilizam conexões seguras e criptografadas para todas as suas páginas.

Em 2016, esses números eram menores: 42% do tráfego de usuários de Windows e Android era criptografado e 37 dos 100 maiores sites usavam criptografia em todas as páginas.

Sites pequenos também se beneficiaram com a disponibilidade de certificados gratuitos para o uso de criptografia. O HTTPS depende da presença de um certificado de segurança. Esses certificados são, em grande parte, emitidos por empresas especializadas, que cobram pelo serviço. No entanto, a organização sem fins lucrativos “Let’s Encrypt” e outras iniciativas de certificados grátis derrubaram o custo para adoção da tecnologia.

Imagem: Aviso de site seguro no Chrome em visita á Wikipedia. (Foto: Reprodução)

Sites ‘seguros’, porém falsos

Embora o uso do “HTTPS” indique que um site use criptografia, isso não significa que o site é “legítimo” ou “seguro”. Sites clonados, fraudulentos e falsos podem apresentar o cadeado e o rótulo de “seguro” com facilidade, desde que não utilizem o endereço real do site.

Por exemplo, se uma instituição financeira tivesse o endereço “banco.exemplo.br”, um criminoso poderia colocar um site falso em “banc0.exemplo.br” (com o número zero no lugar da letra “O”) e ainda receber um certificado de segurança e o rótulo de “seguro”. Isso é possível porque ele está em um endereço diferente do site verdadeiro — ainda que a diferença seja mínima.

O cadeado de segurança e o HTTPS são uma garantia a mais e necessária para a navegação segura na web, mas eles não dispensam uma verificação cuidadosa do endereço acessado.

Como instalar

Você pode comprar seu certificado conosco por apenas R$ 69,90, válido por 1 ano, com instalação gratuita e imediata. Você paga e a gente resolve todo o resto para garantir aos clientes que seu site é seguro.

[vc_btn title=”Comprar Certificado Seguro Agora” color=”green” align=”center” link=”url:%2Fservicos%2Fcertificado-ssl|title:Compre%20Agora||”]

(Com informações de Google e G1)