Chrome marcará sites sem criptografia como ‘não seguros’

2015-04-10_190211

O Google anunciou na quinta-feira (8) que o navegador Chrome marcará todos os sites sem o “cadeado de segurança” como “não seguros” a partir do Chrome 68, que deve ser lançado em julho deste ano. O cadeado, o rótulo “seguro” e o “https” no início do endereço do site, denotam uma página que usa criptografia para impedir que o tráfego seja interceptado ou modificado por terceiros. Navegadores web sempre identificaram essas páginas ditas “seguras” de uma forma ou de outra — o símbolo mais reconhecido é o cadeado –, mas o Chrome inverterá a regra para marcar as páginas simples como “não seguras”.
Sites comuns são aqueles que trafegam pela rede de forma pura e legível em “HTTP”. Sites HTTPS utilizam criptografia para embaralhar os dados da página de tal maneira que só o navegador do visitante possa desembaralhá-la. Esse processo impede dois ataques:
1. a leitura da página por um espião que possa estar interceptando conexão;
2. adulterações: como os dados estão embaralhados, uma alteração criaria uma página corrompida.
O alerta de site “não seguro” já é exibido pelo Chrome em páginas sem criptografia que apresentam campos para a digitação de números de cartão de crédito ou senhas. Dessa maneira, o navegador dá destaque para o risco de dados serem interceptados.
A ausência de criptografia permite que qualquer página visitada, mesmo aquelas que só possuem conteúdo estático, estão sujeitas a serem interceptadas ou adulteradas quando não estiverem trafegando em uma conexão criptografada.
Muitos sites, inclusive sites de instituições financeiras até alguns anos, usavam criptografia apenas em páginas sensíveis, deixando de lado o recurso em suas páginas iniciais ou informativas. Pela nova regra do Chrome, sites que ainda fizerem isso serão marcados como “não seguros”.
ites ‘seguros’,
porém falsos
Embora o uso do “HTTPS” indique que um site use criptografia, isso não significa que o site é “legítimo” ou “seguro”. Sites clonados, fraudulentos e falsos podem apresentar o cadeado e o rótulo de “seguro” com facilidade, desde que não utilizem o endereço real do site.
Por exemplo, se uma instituição financeira tivesse o endereço “banco.exemplo.br”, um criminoso poderia colocar um site falso em “banc0.exemplo.br” (com o número zero no lugar da letra “O”) e ainda receber um certificado de segurança e o rótulo de “seguro”. Isso é possível porque ele está em um endereço diferente do site verdadeiro — ainda que a diferença seja mínima.
O cadeado de segurança e o HTTPS são uma garantia a mais e necessária para a navegação segura na web, mas eles não dispensam uma verificação cuidadosa do endereço acessado.