O Google anunciou nesta quinta-feira (8) que o navegador Chrome marcará todos os sites sem o “cadeado de segurança” como “não seguros” a partir do Chrome 68, que deve ser lançado em julho de 2018. O cadeado, o rótulo “seguro” e o “https” no início do endereço do site, denotam uma página que usa criptografia para impedir que o tráfego seja interceptado ou modificado por terceiros. Navegadores web sempre identificaram essas páginas ditas “seguras” de uma forma ou de outra — o símbolo mais reconhecido é o cadeado –, mas o Chrome inverterá a regra para marcar as páginas simples como “não seguras”.Sites comuns são aqueles que trafegam pela rede de forma pura e legível em “HTTP”. Sites HTTPS utilizam criptografia para embaralhar os dados da página de tal maneira que só o navegador do visitante possa desembaralhá-la. Esse processo impede dois ataques: 1. a leitura da página por um espião que possa estar interceptando conexão;2. adulterações: como os dados estão embaralhados, uma alteração criaria uma página corrompida.O alerta de site “não seguro” já é exibido pelo Chrome em páginas sem criptografia que apresentam campos para a digitação de números de cartão de crédito ou senhas. Dessa maneira, o navegador dá destaque para o risco de dados serem interceptados.A ausência de criptografia permite que qualquer página visitada, mesmo aquelas que só possuem conteúdo estático, estão sujeitas a serem interceptadas ou adulteradas quando não estiverem trafegando em uma conexão criptografada.Muitos sites, inclusive sites de instituições financeiras até alguns anos, usavam criptografia apenas em páginas sensíveis, deixando de lado o recurso em suas páginas iniciais ou informativas. Pela nova regra do Chrome, sites que ainda fizerem isso serão marcados como “não seguros”.
Além dos avisos no Chrome, o Google vem oferecendo outros incentivos para sites criptografados. Páginas criptografadas têm tido preferência em resultados de buscas, por exemplo. Esses incentivos contribuíram para o aumento da adoção da criptografia HTTPS.De acordo com o Google, 68% do tráfego dos sites visitados por usuários do Chrome no Windows e o Android já é criptografo. Entre usuários de macOS e Chrome OS, a proporção é ainda mais alta: 78%. Dos 100 maiores sites da web, 81 já utilizam conexões seguras e criptografadas para todas as suas páginas.Em 2016, esses números eram menores: 42% do tráfego de usuários de Windows e Android era criptografado e 37 dos 100 maiores sites usavam criptografia em todas as páginas.Sites pequenos também se beneficiaram com a disponibilidade de certificados gratuitos para o uso de criptografia. O HTTPS depende da presença de um certificado de segurança. Esses certificados são, em grande parte, emitidos por empresas especializadas, que cobram pelo serviço. No entanto, a organização sem fins lucrativos “Let’s Encrypt” e outras iniciativas de certificados grátis derrubaram o custo para adoção da tecnologia.
Sites ‘seguros’, porém falsos
Embora o uso do “HTTPS” indique que um site use criptografia, isso não significa que o site é “legítimo” ou “seguro”. Sites clonados, fraudulentos e falsos podem apresentar o cadeado e o rótulo de “seguro” com facilidade, desde que não utilizem o endereço real do site. Por exemplo, se uma instituição financeira tivesse o endereço “banco.exemplo.br”, um criminoso poderia colocar um site falso em “banc0.exemplo.br” (com o número zero no lugar da letra “O”) e ainda receber um certificado de segurança e o rótulo de “seguro”. Isso é possível porque ele está em um endereço diferente do site verdadeiro — ainda que a diferença seja mínima.O cadeado de segurança e o HTTPS são uma garantia a mais e necessária para a navegação segura na web, mas eles não dispensam uma verificação cuidadosa do endereço acessado.
Matéria do site G1
Foto: Google Imagens