A partir do Chrome 68, o Google Chrome rotula todos os sites não HTTPS como “Não seguros”. Nada mais mudou – os sites HTTP são tão seguros quanto sempre foram – mas o Google está dando um empurrão na web para conexões seguras e criptografadas.
No futuro, o Google planeja até mesmo remover a palavra “Seguro” da barra de endereço. Afinal, todos os sites devem ser seguros por padrão.
Índice
Como funcionam os sites HTTPS “seguros”
Ao visitar um site que usa criptografia HTTPS , você verá o familiar ícone de cadeado verde e a palavra “Seguro” na barra de endereço.
Mesmo que você insira senhas, forneça números de cartão de crédito ou receba dados financeiros confidenciais pela conexão, a criptografia garante que ninguém possa espionar o que está sendo enviado ou alterar os pacotes de dados enquanto estão viajando entre o seu dispositivo e o servidor do site.
Isso ocorre porque o site está configurado para usar criptografia SSL segura. Seu navegador da web usa o protocolo HTTP para se conectar a sites tradicionais não criptografados, mas usa HTTPS – literalmente, HTTP com SSL – ao se conectar a sites seguros. Os proprietários de sites precisam configurar o HTTPS antes que ele funcione em seus sites.
HTTPS também fornece proteção contra pessoas mal-intencionadas que se fazem passar por um site. Por exemplo, se você estiver em um ponto de acesso Wi-Fi público e se conectar ao Google.com, os servidores do Google fornecerão um certificado de segurança válido apenas para Google.com. Se o Google estivesse usando apenas HTTP não criptografado, não haveria como saber se você estava conectado ao Google.com real ou a um site impostor projetado para enganar você e roubar sua senha. Por exemplo, um ponto de acesso Wi-Fi malicioso pode redirecionar as pessoas a esses tipos de sites impostores enquanto estão conectadas ao Wi-Fi público.
(Tecnicamente, isso não verifica a identidade, bem como os certificados de validação estendida (EV) . No entanto, é melhor do que nada!)
HTTPS também oferece outras vantagens. Com HTTPS, ninguém pode ver o caminho completo das páginas da web que você visita. Eles só podem ver o endereço do site ao qual você está se conectando. Então, se você estivesse lendo sobre uma condição médica em uma página como example.com/medical_condition, até mesmo seu provedor de serviços de Internet só seria capaz de ver que você está conectado a example.com – não sobre qual condição médica você está lendo . Se você estiver visitando a Wikipedia, seu ISP e qualquer outra pessoa só poderá ver que você está lendo a Wikipedia, não sobre o que está lendo.
Você pode esperar que o HTTPS seja mais lento do que o HTTP, mas você está errado. Os desenvolvedores têm trabalhado em novas tecnologias como HTTP / 2 para acelerar sua navegação na web, mas HTTP / 2 só é permitido em conexões HTTPS. Isso torna o HTTPS mais rápido do que o HTTP.
Por que os sites “não são seguros” se não estão criptografados
O HTTP tradicional está ficando demorado. É por isso que, no Chrome 68, você verá uma mensagem “Não seguro” na barra de endereço ao visitar um site HTTP não criptografado. Anteriormente, o Chrome apenas mostrava um “i” informativo em um círculo. Se você clicar no texto “Não seguro”, o Chrome dirá “Sua conexão com este site não é segura”.
O Chrome está dizendo que a conexão não é segura porque não há criptografia para proteger a conexão. Tudo é enviado pela conexão em texto simples, o que significa que é vulnerável a espionagem e violação. Se você digitar informações privadas, como senha ou informações de pagamento, em um site, alguém pode espioná-lo enquanto ele viaja pela Internet.
As pessoas também podem observar os dados que o site está enviando para você. Portanto, mesmo que você esteja apenas navegando na web, os bisbilhoteiros podem ver exatamente quais páginas da web você está vendo. Seu provedor de serviços de Internet também sabe exatamente quais páginas da web você está vendo e pode vender essas informações para uso na segmentação de anúncios. Outras pessoas no Wi-Fi público da cafeteria também podem ver o que você está vendo.
Um site não criptografado também é vulnerável a adulteração. Se alguém estiver sentado entre você e o site, eles podem modificar os dados que o site está enviando para você ou modificar os dados que você está enviando para o site, executando um ataque man-in-the-middle. Por exemplo, isso pode ocorrer quando você está usando um ponto de acesso Wi-Fi público. O operador do hotspot pode espionar sua navegação e capturar detalhes pessoais ou modificar o conteúdo da página da web antes que ela chegue até você. Por exemplo, alguém poderia inserir links de download de malware em uma página de download legítima se essa página de download fosse enviada por HTTP em vez de HTTPS. Eles podem até criar um site falso de impostor que finge ser um site legítimo – se o site legítimo não usar HTTPS, não haverá como perceber que você está conectado a um falso e não ao verdadeiro.
Por que o Google fez essa mudança?
O Google e outras empresas da web, incluindo a Mozilla , têm feito uma campanha de longo prazo para mover a web de HTTP para HTTPS. O HTTP agora é considerado uma tecnologia desatualizada que os sites não deveriam usar.
Originalmente, apenas alguns sites usavam HTTPS. Seu banco e outros sites confidenciais usariam HTTPS, e você seria redirecionado para uma página HTTPS ao fazer login em sites com uma senha e inserir o número do seu cartão de crédito. Mas foi só isso.
Naquela época, o HTTPS custava algum dinheiro para os proprietários de sites implementarem, e as conexões HTTPS seguras eram mais lentas do que as conexões HTTP. A maioria dos sites usava apenas HTTP, mas isso permitia espionar e adulterar a conexão. Isso tornava os pontos de acesso Wi-Fi públicos arriscados de usar.
Para fornecer privacidade, segurança e verificação de identidade, o Google e outros queriam migrar a web para HTTPS. Eles fizeram isso de várias maneiras: HTTPS agora é ainda mais rápido do que HTTP, graças às novas tecnologias, e os proprietários de sites podem obter certificados SSL gratuitos para criptografar seus sites da organização sem fins lucrativos Let’s Encrypt . O Google prefere sites que usam HTTPS e os promove nos resultados de pesquisa do Google.
75% dos sites visitados no Chrome no Windows agora usam HTTPS, de acordo com o relatório de transparência do Google . Agora é hora de virar o interruptor e começar a alertar os usuários sobre sites HTTP.
Nada mudou – o HTTP ainda tem os mesmos problemas de sempre. Mas tantos sites mudaram para HTTPS que é hora de alertar os usuários sobre HTTP e encorajar os proprietários de sites a pararem de arrastar os pés. A mudança para HTTPS tornará a web mais rápida, melhorando a segurança e a privacidade. Também torna os hotspots Wi-Fi públicos mais seguros.
