O HTTPS está virando padrão na internet. No Brasil, 73% das páginas carregadas pelo Chrome já possuem conexão criptografada. Por isso, o Google decidiu que, a partir da versão 69 do navegador, com lançamento previsto para setembro de 2018, o cadeado verde com a inscrição “Seguro” não será mais exibido para os usuários.

A mudança será gradual: no Chrome 69, sites com HTTPS passarão a mostrar apenas um cadeado cinza discreto na barra de endereços. “Eventualmente”, segundo o Google, não haverá mais nenhuma indicação de segurança quando uma página for servida com conexão criptografada.

Isso porque, de acordo com o Google, “os usuários devem esperar que a web é segura por padrão, e eles serão avisados quando houver um problema”. A ideia é inverter as coisas: no Chrome 70, que será lançado em outubro de 2018, todos os sites que forem servidos por HTTP mostrarão um alerta vermelho com a inscrição “Não seguro” sempre que você digitar em algum campo de texto.

Sempre vale lembrar que o simples fato de um site ter HTTPS e cadeado de segurança não significa exatamente que ele seja “seguro”: apenas indica que os dados entre você e o servidor de destino serão criptografados, dificultando que alguém intercepte as informações. Isso, claro, se a chave de criptografia privada do site não vazar na internet.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Rodnei Cruz

🤣

Rodnei Cruz

😂

paulo yan
hopæja

Opera.

Daniel

Vale lembrar que junto a segurança do certificado SSL colhemos também todos os benefícios do protocolo HTTP/2.

PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

hahahaha

Isaac Ribeiro

Ensinamos que sites com o "cadeadinho verde" são seguros e agora há inúmeros sites falsos com esse mesmo cadeadinho. Partindo dessa realidade, o Google deve ter percebido que é hora de diminuir o destaque dado ao cadeado para que as pessoas prestem mais atenção a outros aspectos.

Danillo Nunes

Se o cara tem o domínio metflix.com e resolve fazer um phishing do Netflix ao invés de um site de streaming de putaria, ele já está errado.

Leonardo Amaral

Não anula totalmente, mas reduz absurdamente o risco.

DeadPull

Eu já entendo diferente. O fato de ser criptografado não diminui a possibilidade de o dado ser interceptado, mas impede que o dado interceptado seja lido facilmente, uma vez que as informações estão embaralhadas.

Lucas Fuzzer Sodre

Só não faz sentido algum quando uso o player html5 hls.js e o chrome bloqueia stream's de rádio e TV em m3u8 que não sejam trafegados em https.

Henrique Picanço

Pelo que deu a entender, os sites que não mostraram mais o cadeado serão os sites com certificados onde o nome da empresa não aparece. Por exemplo, o próprio Tecnoblog. Mas para um site onde o cadeado tem o nome da empresa, continuará a ser como é hoje. Isso evitaria que sites de instituições financeiras, por exemplo e geralmente usam esse tipo de certificado, sejam considerados erroneamente como "inseguros".

Felipe Braz

O certificado greenbar é mais cosmético do que qualquer coisa. existem inclusive estudos pondo em cheque o efeito positivo destes.

Mas indo um pouco mais a fundo, tem uma diferença fundamental entre um certificado auto-assinado e um assinado por uma certificadora que é a cadeia de certificados.

Pra comprometer a segurança de um certificado assinado por uma certificadora, seria necessário corromper toda a cadeia de certificados e muitas vezes essa cadeia tem mais de três níveis até chegar ao certificado raiz.

Já em um certificado auto-assinado só tem um nível na cadeia de certificação, tornando o processo menos seguro.

Claro que corromper um certificado não é uma tarefa trivial, mesmo em um certificado auto-assinado. Mas quanto maior a "rede de confiança" do certificado, menor são as chances de sucesso.

Daniel Ribeiro

Eu mesmo uso Let's Encrypt em todos os meus sites... E só comecei a usar HTTPS depois que os certificados passaram a ser gratuitos.

Mas existe uma certa confusão neste sentido e a maioria das pessoas não sabe a real função de um certificado... E pra piorar até os próprios Browsers não ajudam.

Existem 3 tipos de certificados:
- Auto assinado: Você mesmo pode criar seu certificado SSL e instalar no seu servidor. Ele É SEGURO, ou seja, ele vai fazer a comunicação entre o servidor e o usuário ser criptografada de forma segura. Porém, como ele não é emitido por uma "Autoridade certificadora", o Browser vai avisar isso para o usuário, e muitas vezes vai até botar uma parede de confirmação e exigir que o usuário "confirme que quer acessar esse site"... Ou seja, bota pânico desnecessário no usuário leigo.

- Assinado por uma entidade certificadora: Ele é exatamente igual ao primeiro, porém como é emitido por uma autoridade certificadora, o Browser aceita ele tranquilamente e não incomoda o usuário. (O Let's Encrypt é uma autoridade certificadora, a diferença é que ele não cobra nada para emitir os certificados).

- Assinado e VERIFICADO por uma entidade certificadora: Serve para o mesmo fim (criptografar a comunicação), porém ele vai além e "garante" que o servidor que está do outro lado é realmente da empresa que comprou o certificado... Em teoria a autoridade certificadora vai pedir documentos que comprovam que esse certificado será usado por quem realmente diz que é... Na prática, o certificado é exatamente igual, só que mais caro... E aparece o nome da empresa junto com o cadeado verde.

Felipe Braz

Não só o google. O letsencrypt é uma iniciativa da mozilla, por exemplo.

E se pegar os gráficos de adoção de https antes e depois do letsencrypt da pra ver que ele foi um divisor de eras nesse sentido.

Só fico esperando a choradeira de quem pagou uma fortuna naqueles certificados que aparece o nome da empresa na barra verde.

Exibir mais comentários