Muitos sites, atualmente considerados seguros, irão se deparar com mensagens de erro de segurança na próxima versão do Google Chrome, pois o navegador não confiará mais em uma grande provedora de certificados HTTPS, devido uma série de incidentes de segurança.
Espera-se que o Chrome 70 seja lançado por volta de 16 de outubro, onde começará a bloquear sites com certificados emitidos antes de junho de 2016, pela Symantec, incluindo também certificados legados das marcas Thawte, VeriSign, Equifax, GeoTrust e RapidSSL.
Grandes sites ameçados
Apesar de ter passado mais de um ano para se prepararem, muitos sites populares não estão prontos para a mudança.
O pesquisador de segurança Scott Helme encontrou 1.139 sites no primeiro milhão de sites classificados pelo Alexa incluindo: Citrus, SSRN, o Banco Federal da Índia, Pantone, governo da cidade de Tel Aviv, Squatty Potty e Penn State Federal, para citar apenas alguns.
Ferrari, One Identity e Solidworks foram também listados, mas recentemente mudaram para novos certificados, escapando de eventuais interrupções futuras.
Você pode verificar qualquer site, executando o console no Chrome. (Imagem: TechCrunch)
Qual o problema destes certificados?
Os certificados HTTPS criptografam os dados entre seu computador e o website ou aplicativo que você está usando, tornando praticamente impossível que qualquer pessoa, mesmo em seu ponto de acesso Wi-Fi público, intercepte seus dados. Além disso, os certificados HTTPS comprovam a integridade do site que você está visitando, garantindo que as páginas não tenham sido modificadas de alguma forma por um invasor.
A maioria dos sites obtém seus certificados HTTPS de uma autoridade de certificação, que obedece a certas regras e procedimentos que tornam-se confiáveis para navegadores da web.
Se uma certificadora estragar tudo e perder a confiança deles, os navegadores podem “desconectar” todos os certificados dessa autoridade.
É exatamente por isso que a Google encerrou os certificados da Symantec no ano passado. A gigante das buscas, e outras grandes empresas de tecnologia, acusaram a Symantec de emitir certificados enganosos e incorretos e, mais tarde, descobriu-se que a Symantec permitia que organizações não confiáveis emitissem certificados sem a supervisão rigorosa exigida. Isso forçou milhares de sites a removerem seus certificados pagos e substituí-los por novos para impedir que o site fosse sinalizado com mensagens de erro assim que o prazo final do Chrome 70 for atingido.
Mas, assim como os navegadores podem perder a confiança em uma autoridade de certificação, eles também podem ganhar a confiança de novos.
Garanta hoje a Certificação SSL do seu site com um Certificado Comodo e evite perder clientes: Certificado SSL Comodo
