HTTPS: o seu site vai ter que se adequar

Já há algum tempo o Brasil conhece e usa a versão segura do protocolo HTTP – o HTTPS. Há estimativas de que 60% dos sites brasileiros já usam o protocolo seguro para garantir a privacidade dos dados de seus visitantes.

Como vocês sabem, aqui na PortoFácil somos todos loucos por segurança. Por isso mesmo incentivamos que todos os nossos clientes usem certificados de segurança.

A grande “novidade” é que a partir de julho de 2018, com a distribuição do Chrome 68 (cuja versão estável deve chegar ao grande público entre 22 e 28 de julho), todas as páginas que não usam um protocolo SSL serão marcadas como inseguras. Sim, caros amigos e clientes, os navegadores avisarão aos ainda desavisados dos sites sem certificados.

Ainda sem data definida, o Firefox também ativará o mesmo protocolo: sites em HTTP serão marcados como inseguros. Portanto, é hora de ativar o HTTPS em seus sites – se é que você ainda não o fez.

Como e por que chegamos a este ponto?

Tudo começou em 2013, com as revelações de Edward Snowden. Graças a ele, o mundo soube que a NSA, a agência de espionagem norte americana, não tinha o menor pudor e vigiava todas as comunicações, fossem elas suspeitas ou não.

Pior que isso: na época, nem mesmo as comunicações nos datacenters do Google usavam os protocolos de segurança. A comunidade, então, parou para pensar: como garantir a privacidade e a segurança dos usuários da rede – e os negócios fluindo? A resposta está nos protocolos SSL ou TLS.

Segurança para leigos

Quando você faz uma conexão a um servidor com o HTTPS, o “s” significa seguro. Mais detalhadamente, a conexão HTTP é feita através de uma camada de segurança, o SSL (Secure Sockets Layer). O SSL é um protocolo que protege as comunicações entre o cliente e o servidor. Isso garante uma camada de criptografia que impede terceiros de “escutar” a sua conversa.

Com o HTTPS, todas as comunicações entre navegador e servidor são criptografadas o que garante que nenhum espertinho – seja NSA, Abin ou o sobrinho curioso – vai conseguir ler o que o usuário está fazendo.

São dois tipos de protocolos: o SSL (Secure Sockets Layer) ou o TLS (Transport Layer Security). Ambos usam um sistema assimétrico de chaves, o PKI (Public Key Infrastructure), com uma chave pública e outra privada.

Uma linha do tempo dos eventos – e da adoção do HTTPS

2013
~25% HTTPS

Edward Snowden revelou milhares de documentos secretos da NSA, que mostram que a agência estava coletando dados de toda e qualquer comunicação em texto (HTTP). Na época nem mesmo os datacenters do Google usavam HTTPS, tornando muito simples o monitoramento de comunicações

Agosto/2014
31,7% HTTPS

Um post do Google informa que o HTTPS passa a ser indicativo positivo para o SEO dos sites

Setembro/2014
31,8% HTTPS

Cloudflare libera o SSL Universal, que oferece certificados gratuitos SSL/TLS para os então 2 milhões de sites da rede

Dezembro/2014
32,3% HTTPS

Chris Palmer, do Google, envia um email a desenvolvedores em que revela a proposta de marcar páginas em http como inseguras

Fevereiro/2015
33,7% HTTPS

Joel Weinberger, também do Google, envia à lista de desenvolvedores email em que revela a intenção de eliminar determinadas funções se não usarem comunicação segura. A Lista inclui movimento e orientação dos aparelhos, EME, tela cheia e getUserMedia

Abril/2015
35,4% HTTPS

Richard Barnes, da Mozilla, publica o texto “Deprecating Non-Secure HTTP”, revleando a intenção de banir páginas em HTTP no Firefox

Outubro/2015
37,9% HTTPS

Josh Aas, da ISRG, anuncia que a Let’s Encrypt, serviço gratuito de certificados de segurança, é considerado confiável por todos os serviços de navegação

Dezembro/2015
39,5% HTTPS

Let’s Encrypt lança oficialmente seu beta

Junho/2016
45,0% HTTPS

Apple anuncia na WWDC16 que ao final do ano a loja de aplicativos exigirá ATS em todos os produtos oferecidos. ATS proíbe o uso de HTTP e aumenta a adoção do HTTPS

Junho/2016
45,1% HTTPS

Adrianne Porter Felt, do Google apresenta o estudo Repensando os indicadores de Segurança em Conexões, no USENIX (Simpósio sobre Privacidade e segurança), em que apresenta 3 indicadores que já haviam sido adotados pelo Chrome (incluindo o selo de “inseguro”)

Setembro/2016
46,8% HTTPS

Emily Schechter, do Google, mostra que o Chrome passará a marcar paginas que coletam senhas ou cartão de crédito como inseguras se não usarem HTTPS

Janeiro/2017
50,8% HTTPS

Um post no blog de segurança da Mozilla sobre os perigos do HTTP informa aos usuários que nas próximas versões, o Firefox irá informar as conexões inseguras nos formulários

Janeiro/2017
51,9% HTTPS

Como anunciado, o Chrome 56 começa a marcar como inseguras páginas com formulários de senhas ou cartão de crédito

Março/2017
55,1% HTTPS

Cloudflare começa a oferecer SSL para SaaS, que historicamente tinham dificuldade em conseguir e renovar certificados em nome de seus usuários

Abril/2017
56,3% HTTPS

Emily Schecter do Google anuncia duas novas situações que serão consideradas inseguras: quando usuários preenchem informações em páginas HTTP e em qualquer página HTTP durante a navegação anônima

Janeiro/2018
69,0% HTTPS

Anne van Kesteren, da Mozilla, publica o post “Segurança em todos os contextos”, onde explica que todas as aplicações de Internet devem garantir a segurança

Fevereiro/2018
69,9%

Emily Schecter, do Google, informa que todos os sites em HTTP serão marcados como inseguros a partir do Chrome 68

Fonte: Cloudflare

HTTPS: quem, como, quando e onde?

Os grandes protagonistas do movimento, como você pode perceber, são o Google e a Mozilla. Microsoft e Apple estão a reboque na questão da segurança. O Google tem, inclusive, um calendário baseado nos indicadores de segurança.

  • > 65% dos sites em HTTPS: sites inseguros marcados como duvidosos
  • > 75% dos sites seguros: origens inseguras marcadas como inseguras
  • > 85% dos sites seguros: origens seguras sem marcas.

O Google está forçando a mão na questão por uma razão bastante simples: navegação segura é boa para os negócios. Quanto mais seguros os usuários se sentem, mais tempo ficam online – e mais interagem com anúncios e outros serviços.

Segundo as análises, os navegadores e aplicativos devem começar a priorizar conexões seguras, com o HTTPS, às abertas. Apesar de tudo, os emissores de certificados de segurança gratuitos são raros – além da Cloudflare, só Let’s Encrypt oferece essa opção, graças ao uso do protocolo ACME para a emissão dos certificados de segurança. Conforme a adoção da tecnologia avança, é muito provável que grandes players passem a oferecer essa opção aos sites.

Outro evento que está no horizonte é a redução dos períodos de validade dos certificados. Em março deste ano, eles serão válidos por aproximadamente 27 meses. Nas propostas originais do time do Google, a ideia é que a duração padrão dos certificados de segurança fosse de 12 meses, mas esta proposta foi rejeitada pelos emissores. Existe grande probabilidade de que eles sejam válidos por 12 ou 18 meses – já que isso aumenta a segurança.

A grande questão neste tópico é a necessidade de manutenção manual dos certificados, já que o ciclo não é automático. Quanto mais automático for o ciclo mais fácil será para que empresas e organizações adotem os certificados de segurança em todas as suas operações.

Como saber como os navegadores mostrarão o seu site

O jeito mais rápido e fácil de saber que o seu site exibirá o aviso de “inseguro” é ir até ele com as últimas versões do Chrome ou do Firefox. Se não aparecer o velho cadeado, com certeza o aviso será exibido em breve.

Para evitar que isso aconteça, o jeito mais fácil é usar os serviços que a PortoFácil já oferece. Com a Mônica e os serviços do Cloudflare, você instala os certificados de segurança em poucos minutos – e garante não só segurança, mas tráfego e bons negócios.

 

Quero ser cliente da PortoFácil!Contato

Compartilhe

Publicado por lufreitas – 20 de Fevereiro de 2018