Por que o Safari te alerta de “Conexão não segura”?
12 de junho de 2019Seu navegador mostra o alerta de “Conexão não segura” na barra de endereços de todas as conexões HTTP no macOS e no IOS? No ano passado, Google Chrome e Mozilla Firefox tornaram-se os primeiros grandes browsers a mostrar o mesmo aviso.
O aviso aparece em todas as páginas do Safari quando conectado por HTTP. Caso a página tenha qualquer campo de formulário, o alerta torna-se vermelho uma vez que o usuário tenta interagir com qualquer um dos campos (ou torna-se automaticamente vermelho se o campo tiver a função autocompletar, quando as opções já são selecionadas por default quando a página é carregada. Este alerta aparece no macOS e também nas versões 10.14.4 e iOS 12.2.
Os riscos do HTTP
Caso você seja visitante de um website que mostra esse aviso, fique atento para a falta de segurança do HTTP. Isso significa que os dados que você envia e recebe nessas páginas não estão protegidas e podem ser vistas por outros ou mesmo interceptadas. Note que esta não é uma questão do seu computador, iPhone ou iPad, e sim, específica do site ou página que você acessa.
Você não deve enviar nenhum dado importante a essa página quando o alerta aparece. Qualquer informação que você coloca em uma página HTTP é transmitida pela internet aberto, ou seja, sem criptografia ou qualquer outra proteção de dados.
Por exemplo, caso você entre com sua senha de acesso em um HTTP, ela é enviada por toda a sua rede até o servidor – o que envolve transmissões de muitos computadores [1] diferentes pelo caminho, levando-a muito longe de seus computadores – todos os envolvidos na rede podem ver sua senha e, potencialmente, roubá-la.
A não ser que você opte por usar HTTPS – note que o S, neste caso, indica “segurança”. HTTPS inclui um protocolo de segurança chamado TLS (Transport Layer Security, comumente conhecido como SSL, ou Secure Sockets Layer, o protocolo anterior), que acrescenta a itens de segurança faltantes, como criptografia e autenticação do servidor.
Essas duas características trabalham juntas. A criptografia protege seus dados de serem lidos por qualquer um, a não ser pelo site em que você está conectado.
A autenticação do servidor garante que você não está vulnerável a spoofing – um tipo comum de ataque na internet que permite que um computador faça as vezes de outro (como alguém que coloca um uniforme falso de policial para se passar por um agente).
A identidade é garantida em certificados para proteção como os expedidos pela Autoridade de Certificação (Certificate Authority) conforme a Validação da Organização (Organizational Validation – OV) ou um Certificado de Validação Extendida (Extended Validation – EV).
Os padrões de validação são prescritos globalmente e auditados. Quando você clica em um cadeado poderá ter informações adicionais sobre os certificados OV e EV para garantir que o site que você está visitando é realmente da companhia desejada.
Safari e outros navegadores não querem mais usar conexões via HTTP devido ao risco de segurança, por isso têm mostrado alertas há alguns anos.
Remova o alerta – migre para o HTTPS
A única maneira de remover o alerta de “Conexão não segura” do seu site no Safari é garantindo que os visitantes estejam conectados por HTTPS (essa é uma mudança que o dono/administrador precisa fazer, por isso, contate-os caso uma página que você acessa com frequência apresenta o alerta).
Os grandes navegadores têm trabalhado constantemente para desencorajar o uso do HTTP adicionando indicadores UI, como esse, além de restringirem a funcionalidade das páginas HTTP. Os sites devem oferecer conexão HTTPS, que usa o protocolo SSL para prover uma conexão segura.
Caso o seu site já tenha HTTPS é possível que você não esteja reforçando as melhores práticas certificadas. Se ainda não tem HTTPS, o primeiro passo é obter um certificado TLS é instalá-lo em seu navegador.
Fonte: DIGICERT
Certificado SSL grátis x pago? Entenda as diferenças – Ouça
Certificado Code Signing: O que é e qual é a diferença para o SSL – Ouça
Devemos continuar nos referindo ao EV-SSL como a “barra de endereços verde”?