Início » Aplicativos e Software » Chrome vai parar de marcar sites HTTPS como “seguros”

Chrome vai parar de marcar sites HTTPS como “seguros”

Paulo Higa Por

O HTTPS está virando padrão na internet. No Brasil, 73% das páginas carregadas pelo Chrome já possuem conexão criptografada. Por isso, o Google decidiu que, a partir da versão 69 do navegador, com lançamento previsto para setembro de 2018, o cadeado verde com a inscrição “Seguro” não será mais exibido para os usuários.

A mudança será gradual: no Chrome 69, sites com HTTPS passarão a mostrar apenas um cadeado cinza discreto na barra de endereços. “Eventualmente”, segundo o Google, não haverá mais nenhuma indicação de segurança quando uma página for servida com conexão criptografada.

Isso porque, de acordo com o Google, “os usuários devem esperar que a web é segura por padrão, e eles serão avisados quando houver um problema”. A ideia é inverter as coisas: no Chrome 70, que será lançado em outubro de 2018, todos os sites que forem servidos por HTTP mostrarão um alerta vermelho com a inscrição “Não seguro” sempre que você digitar em algum campo de texto.

Sempre vale lembrar que o simples fato de um site ter HTTPS e cadeado de segurança não significa exatamente que ele seja “seguro”: apenas indica que os dados entre você e o servidor de destino serão criptografados, dificultando que alguém intercepte as informações. Isso, claro, se a chave de criptografia privada do site não vazar na internet.

Mais sobre: , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Rodnei Cruz
🤣
Rodnei Cruz
😂
paulo yan
https://uploads.disquscdn.c...
hopæja
Opera.
Daniel
Vale lembrar que junto a segurança do certificado SSL colhemos também todos os benefícios do protocolo HTTP/2.
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
hahahaha
Isaac Ribeiro
Ensinamos que sites com o "cadeadinho verde" são seguros e agora há inúmeros sites falsos com esse mesmo cadeadinho. Partindo dessa realidade, o Google deve ter percebido que é hora de diminuir o destaque dado ao cadeado para que as pessoas prestem mais atenção a outros aspectos.
Danillo Nunes
Se o cara tem o domínio metflix.com e resolve fazer um phishing do Netflix ao invés de um site de streaming de putaria, ele já está errado.
Leonardo Amaral
Não anula totalmente, mas reduz absurdamente o risco.
DeadPull
Eu já entendo diferente. O fato de ser criptografado não diminui a possibilidade de o dado ser interceptado, mas impede que o dado interceptado seja lido facilmente, uma vez que as informações estão embaralhadas.
Lucas Fuzzer Sodre
Só não faz sentido algum quando uso o player html5 hls.js e o chrome bloqueia stream's de rádio e TV em m3u8 que não sejam trafegados em https.
Henrique Picanço
Pelo que deu a entender, os sites que não mostraram mais o cadeado serão os sites com certificados onde o nome da empresa não aparece. Por exemplo, o próprio Tecnoblog. Mas para um site onde o cadeado tem o nome da empresa, continuará a ser como é hoje. Isso evitaria que sites de instituições financeiras, por exemplo e geralmente usam esse tipo de certificado, sejam considerados erroneamente como "inseguros".
Felipe Braz
O certificado greenbar é mais cosmético do que qualquer coisa. existem inclusive estudos pondo em cheque o efeito positivo destes.Mas indo um pouco mais a fundo, tem uma diferença fundamental entre um certificado auto-assinado e um assinado por uma certificadora que é a cadeia de certificados.Pra comprometer a segurança de um certificado assinado por uma certificadora, seria necessário corromper toda a cadeia de certificados e muitas vezes essa cadeia tem mais de três níveis até chegar ao certificado raiz.Já em um certificado auto-assinado só tem um nível na cadeia de certificação, tornando o processo menos seguro.Claro que corromper um certificado não é uma tarefa trivial, mesmo em um certificado auto-assinado. Mas quanto maior a "rede de confiança" do certificado, menor são as chances de sucesso.
Daniel Ribeiro
Eu mesmo uso Let's Encrypt em todos os meus sites... E só comecei a usar HTTPS depois que os certificados passaram a ser gratuitos.Mas existe uma certa confusão neste sentido e a maioria das pessoas não sabe a real função de um certificado... E pra piorar até os próprios Browsers não ajudam.Existem 3 tipos de certificados:- Auto assinado: Você mesmo pode criar seu certificado SSL e instalar no seu servidor. Ele É SEGURO, ou seja, ele vai fazer a comunicação entre o servidor e o usuário ser criptografada de forma segura. Porém, como ele não é emitido por uma "Autoridade certificadora", o Browser vai avisar isso para o usuário, e muitas vezes vai até botar uma parede de confirmação e exigir que o usuário "confirme que quer acessar esse site"... Ou seja, bota pânico desnecessário no usuário leigo.- Assinado por uma entidade certificadora: Ele é exatamente igual ao primeiro, porém como é emitido por uma autoridade certificadora, o Browser aceita ele tranquilamente e não incomoda o usuário. (O Let's Encrypt é uma autoridade certificadora, a diferença é que ele não cobra nada para emitir os certificados).- Assinado e VERIFICADO por uma entidade certificadora: Serve para o mesmo fim (criptografar a comunicação), porém ele vai além e "garante" que o servidor que está do outro lado é realmente da empresa que comprou o certificado... Em teoria a autoridade certificadora vai pedir documentos que comprovam que esse certificado será usado por quem realmente diz que é... Na prática, o certificado é exatamente igual, só que mais caro... E aparece o nome da empresa junto com o cadeado verde.
Felipe Braz
Não só o google. O letsencrypt é uma iniciativa da mozilla, por exemplo.E se pegar os gráficos de adoção de https antes e depois do letsencrypt da pra ver que ele foi um divisor de eras nesse sentido.Só fico esperando a choradeira de quem pagou uma fortuna naqueles certificados que aparece o nome da empresa na barra verde.
Caleb Enyawbruce
O que eu disse que é complicado é a nomenclatura. Tipo, a melhor forma de apresentar isso para o usuário leigo/comum.
thiagorsr
Acho correta a decisão de inverter a lógica. Pelo que li, é bem possível que Mozilla e Microsoft sigam isso. A tendência de privacidade no design impõe este requisito.
thiagorsr
Não é complicado. É perigoso e inseguro tbm. Uma vez que comunicações criptografadas é apenas um dos requisitos para garantir a segurança do envio dos dados. E com a adoção simples do HTTPS e seu custo acessível (Let's Encrypt) faz todo o sentido inverter a lógica.E mudança sempre leva tempo...
Sidney Moraes
Eu acho essa atitude da Google um pouco radical, até entendo marcar sites que usam http não seguros, mas não precisa remover o cadeado de segurança. Espero que voltem a atrás nisso.
Caleb Enyawbruce
Aí vacilou, rs https://uploads.disquscdn.c...
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Na verdade eu deveria ter comparado não seguro com perigoso... essa é a interpretação que eu acho que eles vão ter
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Hoje tem várias maneiras de gerar certificado, tem iniciativas de certificados gratuitos... o cara vai lá e gera pra um www.metflix.com e faz uma cópia do site do netflix... pronto
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Exatamente
Helder Thury
Opa, Daniel.Obrigado pela resposta, fico mais tranquilo :)
Sidney Moraes
Concordo, é melhor ter pelo menos isso para o usuário final.
Daniel Ribeiro
Não é só seu site que vai deixar de ser "seguro". Todos os sites vão.Não vai mais existir site "Seguro"... Vai existir apenas 2 tipos de sites.- Normais- Inseguros
Helder Thury
Ele ja é, amigo.Estou preocupado com a atualização do Chrome e como tornar seguro após a atualização
Cobalto
Eu nem acho que esteja errado "errado" ao pé da letra, sabe.Mas eu concordo completamente com PPKX XD na questão de ser uma PÉSSIMA abordagem e só piora minha opinião sobre isso quando a mudança é uma decisão arbitrária do Google.A internet toda tava aí de boa, aí O GOOGLE, DEUS SENHOR LORDE SOBERANO DA INTERNET resolveu mudar porque o Chrome é muito usado e eles vão conseguir mudar todo um comportamento da internet (os outros browsers vão ter que seguir porque senão vai criar confusões ainda piores).Lembra muito o Internet Explorer 6 life style de fazer as coisas.
Helder Thury
Meu site já e HTTPS.Eu so li a cabeca do artigo e pelo que entendi a Google não vai citar mais meu site como seguro.
Caleb Enyawbruce
Sim, exato
Caleb Enyawbruce
Passar a usar HTTPS. Acho que hoje em dia todo host tem essa opção (paga à parte ou não).
Daniel Ribeiro
Poe ele num host HTTPS
Daniel Ribeiro
Eu entendo seu ponto... Na verdade, tudo isso vai acontecer porque o Google quer impor o HTTPS por padrão.No fim das contas, a solução está na mão dos webmasters... O usuário não tem nada com isso. Basta o admin do site colocar ele em um host httpS e tudo se resolve.Eu não duvido nada se, daqui algum tempo, o Google simplesmente parar de indexar os sites HTTP... Dai isso tudo nem vai virar um problema, pois os sites vão ficar completamente vazios de acessos.Update or die
Helder Thury
E como fazer para meu site se tornar seguro novamente?
Marcos Soares Santos
Acho certissimo. Já peguei site falso (daqueles virus de zap zap) do Netflix com certificado SSL e cadeadinho verde.
Leonardo Amaral
O foco linguístico representa exatamente a visão técnica neste caso.
Cobalto
Acontece que hoje temos 3 níveis:Seguro, https, "o site do banco é seguro".Inseguro, http, "não devo confiar tanto quanto um seguro".Perigoso, aviso vermelho, "não baixe nem informe nada nesse site".Pro usuário, não vai mais existir site seguro, o site do banco dele vai virar inseguro e um monte de site normal que não precisa OBRIGATORIAMENTE de https (sites antigos de letra de musica e receita de bolo) se tornarão perigosos sem motivo algum.Até o usuário comum acostumar vai ser horrível.E você nem precisa ser da área, só ter pai, mãe e tios pra entender.
Caleb Enyawbruce
Sim, @pqatsi:disqus , focando na lingua portuguesa "não seguro" e "inseguro", são exatamente a mesma coisa.
Caleb Enyawbruce
Nesse ponto concordo com vc, @manowars:disqus . A nomenclatura perfeita seria "Sem criptografia". Mas é uma "faca de dois legumes", já que talvez a "massa" nem saiba o que é criptografia, então pra eles um "Não seguro" seja mais claro. Enfim, é complicado...
Caleb Enyawbruce
Exato, os HTTP
Caleb Enyawbruce
Concordo com a mudança de abordagem. Acho que esse é o entendimento correto. HTTPS é o básico. Os HTTP que devem ser destacados como "errados" (ou "fora do padrão de segurança"). Se os dados estão sendo trafegados sem criptografia, a grosso modo, são sim "não seguros".PS.: Obviamente usar HTTPS não significa muito hoje em dia, mas de qualquer forma é melhor com ele que sem ele. Por isso eu disse que é o básico.
Daniel Ribeiro
Precisa ler a matéria de novo. "todos os sites que forem servidos por HTTP mostrarão um alerta vermelho com a inscrição “Não seguro” sempre que você digitar em algum campo de texto."
Will
No Opera fica só o cadeado verde
Jonas S. Marques
Ele não vai ver não seguro, ele simplesmente não vai ver nada.
Leonardo Amaral
Na real, não seguro e inseguro é de fato a mesma coisa. A ausência de criptografia já garante que o dado pode ser interceptado, pois não há nenhuma trava para que quem estiver no meio do caminho o faça. O paradigma me parece correto.
Douglas Souza Luz
eu to rindo, mas é de nervoso kkkkkk
Felipe Silva
Isso só vai aparecer em sites sem https e no futuro, não acho que todo ruim a ideia.
Trovalds
Ou começa a usar o Firefox, o Opera ou até mesmo o Edge porque neles "tem cadeado".
Trovalds
Comodo e seus certificados mandaram lembranças (da lambança que eles fizeram).
Diogo
Eu acho que é o contrário: eles estão partindo do princípio que a internet NÃO é segura, mesmo os sites tendo SSL que possivelmente diria que eles são seguros.
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Quero ver as pessoas saberem que "não seguro" é diferente de "inseguro", o correto seria dizer que não é criptografado
Tori
Chrome 72 ira retornar isso, só espera
Diogo
Ué... mas não é verdade?
Krosna Terrestre
Podia ao menos deixar o cadeado verde
Helmut
Só por alguns dias... depois ele esquece.
moreirapontocom
Hahah eu ia fazer exatamente o mesmo comentário!!!
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Péssima abordagem pro usuário final que vai ver "Não seguro" e vai ficar com medo de usar um site qualquer...
Suely Almeida
Hunf, clientes!
Junior Sousa
"Isso, claro, se a chave de criptografia privada do site não vazar na INTERnet." 😂😂
Jonas S. Marques
Ótima abordagem. Problema vai ser explicar pro cliente que sim, o certificado SSL dele está funcionando.