Início » Antivírus e Segurança » Mais de 9 mil domínios do governo não usam criptografia HTTPS no Brasil

Mais de 9 mil domínios do governo não usam criptografia HTTPS no Brasil

47% dos domínios gov do Brasil não têm certificado digital TLS ou SSL, incluindo sites dos governos federal, estadual e municipal

Felipe Ventura Por

Um levantamento da empresa de segurança DigiCert revela que 47% dos domínios .gov do Brasil não têm certificado digital TLS ou SSL, ou seja, não usam conexão HTTPS. Isso significa que mais de 9 mil domínios dos governos federal, estadual e municipal podem transmitir dados de formulário pela internet sem qualquer proteção: encontramos páginas vulneráveis de login, cadastros anti-telemarketing e sites para consulta de IPTU.

SIG EBSERH sem HTTPS

A DigiCert contabilizou, no total, cerca de 19.900 domínios .gov no Brasil. Deles, 10.551 usam HTTPS com certificado TLS ou SSL, incluindo o portal único Gov.br do governo federal lançado este ano. Você verá um cadeado na barra de endereço indicando que a conexão é segura.

Claro, como já explicamos por aqui, uma conexão segura não significa que o site é seguro. Um estudo da consultoria de segurança PhishLabs mostrou que metade dos sites de phishing adotam o HTTPS para parecerem mais legítimos: os dados que você digitar estarão protegidos de invasores, mas cairão nas mãos de um criminoso.

Ou seja, o HTTPS é uma condição necessária, mas não suficiente, para um site seguro. Então é um problema que 9.356 domínios .gov.br sequer adotem esse tipo de proteção; vale lembrar que é possível obter certificados SSL de graça do Let’s Encrypt.

SIGESP sem HTTPS

Por exemplo, o SIGESP (Sistema de Gestão de Pessoas), para servidores do Ministério da Saúde, tem uma página de login sem HTTPS — a senha é transmitida em texto puro. O SIG (Sistema de Informações Gerenciais), da estatal Ebserh (Empresa Brasileira de Serviços Hospitalares), também está desprotegido; ele permite fazer login e recuperar senha através de CPF.

Sites estaduais e municipais têm login e cadastro sem HTTPS

Isso não fica restrito apenas à esfera federal. O portal de webmail da prefeitura de Manaus (AM) não tem HTTPS: novamente, login e senha são transmitidos em texto puro.

Webmail Manaus sem HTTPS

E, como revelamos anteriormente no Tecnoblog, diversos sites para cadastro anti-telemarketing ainda seguem sem HTTPS, transmitindo dados pessoais, login e senha sem proteção. É o caso dos sistemas “não perturbe” de Alagoas, Ceará, Maranhão, Mato Grosso do Sul, Paraíba e Rio Grande do Sul. (O Procon-SP só adotou esse padrão em agosto de 2019.)

O site para checar agendamentos da eCNH no Detran de São Paulo não tem HTTPS. O mesmo ocorre no sistema das prefeituras de Campo Grande (MS) e Rio de Janeiro para obter segunda via do IPTU.

A página do Rio para consulta do ITBI (imposto sobre a transmissão de bens imóveis), além de não ter HTTPS, ainda usa URLs que terminam em “.exe” — que, felizmente, não fazem download de nenhum arquivo executável.

Rio ITBI sem HTTPS

O portal GNRE (Guia Nacional de Recolhimento de Tributos Estaduais) de Pernambuco está sem HTTPS. E a cidade de Ubatuba (SP) tem um portal de serviços todo sem HTTPS; curiosamente, o site da prefeitura já usa um certificado de criptografia.

Alguns domínios da Receita Federal e da Caixa Econômica Federal não usam HTTPS, mas talvez isso seja menos preocupante: são apenas páginas informativas, sem formulários para inserir dados pessoais ou fazer login. Os sites de serviços da Receita — como Regularização de CPF, por exemplo — têm certificado SSL.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Frederico Martins

Hum.... temos um Xeróque Rolmes.
(A JUSTIÇA aqui ainda usa Java meu povo, por aí vcs tirem o resto) kkkk

Alexandre Cordeiro

É a eficiência do serviço público brasileiro, é assim mesmo. Dá muito trabalho para fazer isso kkk... Menos tempo para tomar café. Mas também tenho dúvidas sobre toda a segurança de um certificado https

Diego

JAVA é uma merda. Ainda mais para certificados digitais aonde muitas vezes você precisa instalar uma versão anterior do JAVA e torcer pra não bugar.

Tiago Celestino

hahahahahaha culpa do pt /s

Tiago Celestino

O de graça que vc fala é a iniciativa Let's Encrypt, correto? Se for, infelizmente ñ seria viável para grandes plataformas ( no caso do governo), devido a validação do certificado.

E a implementação de https nesse servidores, sem dúvida levaria um bom tempo.

Se Pita?

ELEVEN YEARS!!! kkkkkk

johndoe1981

Há algum tempo eu passei a pagar a GPS da Previdência Social pelo internet banking do meu banco, porque o domíno da Receita Federal (http://sal.receita.fazenda.... para emitir a guia de pagamento não é seguro, é brincadeira um negócio desse.

johndoe1981

Gostei da sinceridade de um usuário:

"Please note that ICP Brasil seems to be a little lazy regarding their own security."

johndoe1981

Acontece desde sempre. Se atualmente 47% dos sites não tem protocolo seguro, no princípio devia beirar os 100%.

Ivan

Eu fico com medo todas as vezes que preciso imprimir o IPTU do site da prefeitura pois o site não usa HTTPS.

johndoe1981

Pior ainda, o descaso do governo com a segurança dos seus websites é absurdo.

Marmota Marota

Data dinheiro pra comprar certificado gratuito também

Marmota Marota

Sarcasmo....
... Pelo menos eu quero acreditar que é.

Abner Santana

Muito drama, mas usuários acham que estão seguros.

johndoe1981
Coitado do Estado brasileiro, arrecada tão pouco que falta dinheiro pra comprar certificados de segurança.
Exibir mais comentários