Início » Web » Google Chrome deixará de carregar 1.000 sites com certificado HTTPS inválido

Google Chrome deixará de carregar 1.000 sites com certificado HTTPS inválido

1.139 sites usam certificados HTTPS que o Google Chrome vai considerar inválidos, incluindo no Brasil

Por
09/10/2018 às 10h17

O Google Chrome deixará de carregar sites com HTTPS que usam certificados antigos da Symantec. São cerca de mil domínios, incluindo no Brasil, que vão ativar uma mensagem de erro no navegador. A versão 70 deve ser lançada em 16 de outubro.

Foto por Stephen Shankland/Flickr

O pesquisador de segurança Scott Helme analisou um milhão de sites mais acessados da internet, de acordo com o ranking da Alexa, e encontrou 1.139 domínios com certificados que o Chrome vai considerar inválidos. Eles tiveram mais de um ano para se preparar.

No Brasil, isso inclui sites como Assine Globo (para assinar revistas da editora), Bagaggio (venda de malas e mochilas), VR Benefícios e GreenCard (vale-refeição e alimentação). Ao abrir as ferramentas de desenvolvedor, o Chrome avisa: “o certificado SSL usado para carregar recursos de [domínio] não serão mais confiáveis no M70. Com isso, os usuários serão impedidos de carregar esses recursos”.

E, em versões beta do Chrome 70, você se depara com uma mensagem de erro e o código NET::ERR_CERT_SYMANTEC_LEGACY. O navegador também diz: “avisos podem ser comuns enquanto os sites atualizam a segurança. Isso deve melhorar em breve”.

A lista foi elaborada em 24 de setembro. Desde então, alguns sites brasileiros que ainda usavam certificados antigos foram atualizados. Ou seja, você não encontrará problemas no Consumidor.gov.br, Águia Branca (venda de passagens de ônibus), Planeta DeAgostini (empresa de colecionáveis) e Tecidos na Internet.

Google não confia em alguns certificados da Symantec

O Google acusa a Symantec de emitir certificados HTTPS enganosos e errados, e deixou de confiar neles no ano passado. Isso envolve certificados emitidos pela Symantec antes de junho de 2016, incluindo da Legacy Thawte, VeriSign, Equifax, GeoTrust e RapidSSL.

O certificado HTTPS criptografa os dados entre seu computador e o website que você está acessando, evitando que você seja interceptado. Ele é emitido por uma autoridade de certificação, que pode ser bloqueada pelos navegadores se sua confiança for violada — é o que aconteceu com a Symantec.

Estes sites no Brasil ainda não atualizaram seu certificado HTTPS:

cadastro.uol.com.br
assineglobo.com.br
bagaggio.com.br
exchangecorp.com.br
schulz.com.br
vr.com.br
grupogreencard.com.br
psicopedagogia.com.br

Estes sites estavam com certificado inválido da Symantec, mas já atualizaram:

consumidor.gov.br
accesstage.com.br
aguiabranca.com.br
planetadeagostini.com.br
tecidosnainternet.com.br
grupoplataforma.com.br

A análise de Helme também menciona o domínio nikon.com.br, mas ele sequer tem certificado HTTPS, sendo marcado como “Não seguro” pelo Chrome. A companhia japonesa encerrou suas atividades no Brasil após um plano global de reestruturação.

Com informações: TechCrunch.