Entenda porque o Google deixará de exibir cadeados nas páginas HTTPS – Por Regina Tupinambá
25 de maio de 2018Google deixa de exibir cadeados nas páginas com HTTPS
Agora empresas que figuram na internet, ou aplicam um certificado SSL | TLS em seus sites ou é melhor sairem do mundo On-line. Simples assim.
Por Regina Tupinambá
Google marcará todos os sites HTTP – Hypertext Transfer Protocol – como “não seguros” a partir de 25 julho de 2018, a nova versão 68.
Deixará também de marcar páginas HTTPS como “seguras” e o texto “seguro” da barra de endereço, começando com o Chrome 69 em setembro.
Conforme o Google explicou, a estratégia por trás desse movimento é que as pessoas esperem como padrão as páginas seguras. Ou seja, a exceção será o site não seguro.
As pessoas serão alertadas pelo Google quando estiverem navegando em sites não seguros.
A retirada dos cadeados vem em sequência a uma séria de ações implementadas pelo Google, e outras empresas do segmento, para privilegiar sites que mantém canais de criptografia entre usuários e servidores web que armazenam informações sobre perfis e transações.
Desde que começou a campanha contra sites não seguros em 2015, houve um aumento significativo do número de empresas que passaram a adotar os protocolos de segurança – Certificados digitais SSL – Secure Socket Layer e TLS – Transport Layer Security, conforme o relatório divulgado pelo Google.
A Netcraft, empresa inglesa de serviços de segurança na internet que fornece ao mercado desde 1995 pesquisa e análise sobre SSL, em seu relatório publicado em março de 2018 apontou que atualmente existem mil vezes mais certificados digitais SSL na web que em 1996.
Eles têm como parâmetro para a pesquisa certificados SSL válidos usados em servidores da Web voltados para o público, contando cada certificado uma vez, mesmo se usado em vários servidores ou sites. Não são considerados, portanto, certificados SSL utilizados para outros fins como servidores internos e outros tipos de aplicações.
A criptografia impede a intercepção dos dados e garante a integridade das informações enviadas e recebidas e deveria ser aplicada a todos os servidores que mantém algum tipo de informação ou a empresas que precisam se identificar de forma inquestionável aos visitantes como empresas de notícias. Isso contribuiria muito para se evitar o Fake News.
Os obstáculos à adoção dos protocolos de segurança
Existem alguns países que proíbem a criptografia completa do tráfego da Web. Algumas empresas e organizações não se empenham em ter recursos humanos para implementar o HTTPS.
Porém o mais crítico é a falta de entendimento do que são os protocolos de segurança SSL e TLS por parte das empresas que se instalam na internet.
O Google anunciou no início do ano que marcaria as páginas como “inseguras” a partir do Chrome 68 em julho. Chrome 68 aponta que sites sem HTTPS são inseguros – Isso basta?
O Chrome 69 em setembro deixará de exibir o cadeado da barra de endereço e o texto “seguro”.
Em outubro, o Chrome 70 começará a exibir um aviso vermelho “não seguro” quando as pessoas inserirem dados em páginas HTTP.
Segundo o Google marcar em vermelho sites inseguros, há pouco tempo, era um esforço muito maior que atualmente porque o número de sites sem o HTTPS era alto demais.
O Google tomou outras medidas para incentivar o uso de HTTPS. Uma das medidas a empresa classificou sites com HTTPS mais altos em seus resultados de pesquisa.
Como tornar um site HTTPS?
Para proteger um site, é necessário que a organização adquirira um certificado SSL ou sua evolução que é o TLS para instalar na porta do servidor em que o site está hospedado.
Um terceiro confiável, chamado de Autoridade Certificadora – AC é quem garante a autenticidade do Certificado Digital SSL, para que os visitantes possam ter certeza de onde estão.
Como escolher uma Autoridade Certificadora?
A primeira coisa que o comprador deve ter em mente ao comprar um Certificado Digital SSL é que o mais importante a ser analisado são os procedimentos da Autoridade Certificadora que vai emitir o certificado. Autoridade Certificadora vende CONFIANÇA que se reflete diretamente em todos os processos que envolve o ciclo de vida dos certificados a começar pela validação das informações de propriedade de domínio.
Pode-se conferir se uma Autoridade Certificadora é confiável de diversas maneiras, mas minha dica é que você verifique se a Autoridade Certificadora segue os procedimentos padrão do mercado mundial para a emissão dos SSLs.
Verifique por exemplo, se a Autoridade Certificadora em seu site possui um selo válido da Webtust que é a entidade mundial número um em auditoria das Autoridades Certificadoras de primeiro nível.
Pode também conferir se a Autoridade Certificadora é membro do CA Browser Forum – Organização fundada em 2005 que reuni fornecedores de software de navegação na Internet e fornecedores de outros aplicativos que usam certificados digitais X.509 v.3 para SSL / TLS e assinatura de código.
Na composição de preços dos Certificados Digitais a validação das identidades é o que representa o maior peso, portanto, desconfie de certificados digitais baratos e muito mais dos gratuitos.
Além de fornecedores de SSL gratuitos, as organizações também podem assinar seus próprios certificados. Nesses dois casos, os dados serão criptografados, mas os certificados autoassinados e os DV – que apenas fazem a validação de domínio, serão inúteis para os visitantes que não podem ter certeza de que seu site é realmente o que pretendiam visitar.
Tipos de certificados de segurança da web
Aqui segue um resumo dos tipos de certificados SSL /TLS
1- Auto-assinados – self-signed – Certificados gerados pela própria empresa. São de uso interno e não possuem interoperabilidade com os navegadores de internet.
2 – Validação de Organização – fully authenticated – A Autoridade Certificadora valida se a empresa solicitante do Certificado SSL é proprietária do domínio configurado na solicitação do Certificado, se a entidade é legalmente constituída e se a pessoa que solicitou certificado tem poder para efetuar o pedido.
Para as operações no comércio eletrônico, os certificados com Validação de Organização – fully authenticated – são os mais indicados por proporcionarem maior segurança à empresa, aos usuários e aos clientes.
Além de certificar que a empresa está legalmente constituída, este tipo de certificado assegura que a mesma está em operação e que o domínio do Certificado é de sua propriedade.
O Certificado de validação de organização tem um segundo tipo que é o SSL/TLS EV – Extended Validation.
Neste caso o processo de validação apresenta etapas adicionais de checagem da ID de propriedade de domínio e por isso tem um custo mais elevado.
3- Validação de domínios – Valida apenas se o domínio existe. Não confere a propriedade do domínio.
É importante observar também que os Certificados Digitais de Validação de Domínio – domain validated não trazem valor às relações de confiança na internet. Pelo contrário, confundem os visitantes que imaginam estar seguros pela presença da criptografia.
Na verdade, a criptografia pode estar levando os dados diretamente para hackers. São certificados muito frágeis pela falta de processo de verificação de propriedade, pois só faz a criptografia dos dados, não cumprindo a função fundamental de um Certificado Digital que é identificar a titularidade para o qual o Certificado é emitido.
Acredito que em breve isso será um dos fatores observados pelo Google para próximas medidas que incentivam a internet segura.
Os Certificados de validação de domínios são utilizados por sites muito pequenos e por empresas que iniciam no e-commerce. O preço de mercado é muito inferior aos SSLs, pois é emitido por máquinas sem nenhuma interação humana.
4 – Certificados WildCards – Outro tipo de certificado não recomendável ao e-commerce são os chamados Certificados WildCards, pois permitem que uma única chave seja instalada em mais de um servidor.
Não deve ser utilizado por empresas que movimentam muitas informações sensíveis de clientes, pois segue na direção contrária das boas práticas de segurança da informação. Não é comum, mas algumas empresas de porte utilizam este tipo de certificado em servidores internos, porém possuem políticas de segurança de alto nível e fazem o gerenciamento das chaves com rigorosos processos de segurança lógica e física.
5 – Certificados Digitais para os Múltiplos Domínios – Certificados Digitais para os Múltiplos Domínios, são utilizados para o uso em soluções baseadas em Comunicações Unificadas (Unified Communications), como por exemplo, Microsoft Exchange e Live Communications Server.
Uma das características deste certificado é permitir a inclusão, no campo Subject Alternative Name (SAN), vários endereços de internet, intranet e IP’s adicionais. Com este certificado, as soluções baseadas em Comunicações Unificadas conseguem estabelecer conexões seguras (SSL/TLS) com todos os endereços e/ou IP’s que estão presentes no Certificado (Campos:Common Name e SAN).
Diante de tantas opções é muito importante que ao decidir por um certificado digital as empresas verifiquem se a Autoridade Certificadora responsável pela comercialização do Certificado SSL segue as boas práticas de segurança e se é auditada por terceiros de “boa fé”.
A Certificação Digital é baseada numa cadeia de confiança até chegar ao usuário final, mas, muitas Autoridades Certificadoras criadas recentemente para baratear o preço dos Certificados SSL e ganhar mercado, promovem o uso dos certificados sem verificação de propriedade do uso de domínio, sem falar nos certificados gratuitos.
Como diz o dito popular, não existe almoço grátis, então sempre desconfie porque se o serviço é grátis, o produto provavelmente é você.
Para finalizar, acreditamos nas ações do Google para tornar a internet um meio mais confiável para que pessoas e empresas se relacionem. Estamos sempre atentos aqui no Crypto ID a esse tipo de ação porque acreditamos nas relações eletrônicas confiáveis.
Regina Tupinambá | CCO – Chief Content Officer – CryptoID. Publicitária formada pela PUC Rio, desde 1995 se dedica ao comércio eletrônico e em 1999 entrou para o universo da Certificação Digital. Dirigiu diversas áreas da Autoridade Certificadora Certisign. No âmbito da ICP-Brasil acompanhou a criação da AC Raiz, e participou diretamente da homologação de muitas Autoridades Certificadoras e Autoridades de Registro. É CEO da Insania Publicidade e como CCO do Portal CryptoID, dirige a área de conteúdo do Portal.