Início » Antivírus e Segurança » Mais de 9 mil domínios do governo não usam criptografia HTTPS no Brasil

Mais de 9 mil domínios do governo não usam criptografia HTTPS no Brasil

47% dos domínios gov do Brasil não têm certificado digital TLS ou SSL, incluindo sites dos governos federal, estadual e municipal

Felipe Ventura Por

Um levantamento da empresa de segurança DigiCert revela que 47% dos domínios .gov do Brasil não têm certificado digital TLS ou SSL, ou seja, não usam conexão HTTPS. Isso significa que mais de 9 mil domínios dos governos federal, estadual e municipal podem transmitir dados de formulário pela internet sem qualquer proteção: encontramos páginas vulneráveis de login, cadastros anti-telemarketing e sites para consulta de IPTU.

SIG EBSERH sem HTTPS

A DigiCert contabilizou, no total, cerca de 19.900 domínios .gov no Brasil. Deles, 10.551 usam HTTPS com certificado TLS ou SSL, incluindo o portal único Gov.br do governo federal lançado este ano. Você verá um cadeado na barra de endereço indicando que a conexão é segura.

Claro, como já explicamos por aqui, uma conexão segura não significa que o site é seguro. Um estudo da consultoria de segurança PhishLabs mostrou que metade dos sites de phishing adotam o HTTPS para parecerem mais legítimos: os dados que você digitar estarão protegidos de invasores, mas cairão nas mãos de um criminoso.

Ou seja, o HTTPS é uma condição necessária, mas não suficiente, para um site seguro. Então é um problema que 9.356 domínios .gov.br sequer adotem esse tipo de proteção; vale lembrar que é possível obter certificados SSL de graça do Let's Encrypt.

SIGESP sem HTTPS

Por exemplo, o SIGESP (Sistema de Gestão de Pessoas), para servidores do Ministério da Saúde, tem uma página de login sem HTTPS — a senha é transmitida em texto puro. O SIG (Sistema de Informações Gerenciais), da estatal Ebserh (Empresa Brasileira de Serviços Hospitalares), também está desprotegido; ele permite fazer login e recuperar senha através de CPF.

Sites estaduais e municipais têm login e cadastro sem HTTPS

Isso não fica restrito apenas à esfera federal. O portal de webmail da prefeitura de Manaus (AM) não tem HTTPS: novamente, login e senha são transmitidos em texto puro.

Webmail Manaus sem HTTPS

E, como revelamos anteriormente no Tecnoblog, diversos sites para cadastro anti-telemarketing ainda seguem sem HTTPS, transmitindo dados pessoais, login e senha sem proteção. É o caso dos sistemas "não perturbe" de Alagoas, Ceará, Maranhão, Mato Grosso do Sul, Paraíba e Rio Grande do Sul. (O Procon-SP só adotou esse padrão em agosto de 2019.)

O site para checar agendamentos da eCNH no Detran de São Paulo não tem HTTPS. O mesmo ocorre no sistema das prefeituras de Campo Grande (MS) e Rio de Janeiro para obter segunda via do IPTU.

A página do Rio para consulta do ITBI (imposto sobre a transmissão de bens imóveis), além de não ter HTTPS, ainda usa URLs que terminam em ".exe" — que, felizmente, não fazem download de nenhum arquivo executável.

Rio ITBI sem HTTPS

O portal GNRE (Guia Nacional de Recolhimento de Tributos Estaduais) de Pernambuco está sem HTTPS. E a cidade de Ubatuba (SP) tem um portal de serviços todo sem HTTPS; curiosamente, o site da prefeitura já usa um certificado de criptografia.

Alguns domínios da Receita Federal e da Caixa Econômica Federal não usam HTTPS, mas talvez isso seja menos preocupante: são apenas páginas informativas, sem formulários para inserir dados pessoais ou fazer login. Os sites de serviços da Receita — como Regularização de CPF, por exemplo — têm certificado SSL.

Mais sobre: ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Frederico Martins
Hum.... temos um Xeróque Rolmes. (A JUSTIÇA aqui ainda usa Java meu povo, por aí vcs tirem o resto) kkkk
Alexandre Cordeiro
É a eficiência do serviço público brasileiro, é assim mesmo. Dá muito trabalho para fazer isso kkk... Menos tempo para tomar café. Mas também tenho dúvidas sobre toda a segurança de um certificado https
Diego
JAVA é uma merda. Ainda mais para certificados digitais aonde muitas vezes você precisa instalar uma versão anterior do JAVA e torcer pra não bugar.
Tiago Celestino
hahahahahaha culpa do pt /s
Tiago Celestino
O de graça que vc fala é a iniciativa Let's Encrypt, correto? Se for, infelizmente ñ seria viável para grandes plataformas ( no caso do governo), devido a validação do certificado.E a implementação de https nesse servidores, sem dúvida levaria um bom tempo.
Se Pita?
ELEVEN YEARS!!! kkkkkk
johndoe1981
Há algum tempo eu passei a pagar a GPS da Previdência Social pelo internet banking do meu banco, porque o domíno da Receita Federal (http://sal.receita.fazenda.... para emitir a guia de pagamento não é seguro, é brincadeira um negócio desse.
johndoe1981
Gostei da sinceridade de um usuário:"Please note that ICP Brasil seems to be a little lazy regarding their own security."
johndoe1981
Acontece desde sempre. Se atualmente 47% dos sites não tem protocolo seguro, no princípio devia beirar os 100%.
Ivan
Eu fico com medo todas as vezes que preciso imprimir o IPTU do site da prefeitura pois o site não usa HTTPS.
johndoe1981
Pior ainda, o descaso do governo com a segurança dos seus websites é absurdo.
Marmota Marota
Data dinheiro pra comprar certificado gratuito também
Marmota Marota
Sarcasmo....... Pelo menos eu quero acreditar que é.
Abner Santana
Muito drama, mas usuários acham que estão seguros.
johndoe1981
Coitado do Estado brasileiro, arrecada tão pouco que falta dinheiro pra comprar certificados de segurança.
johndoe1981
Coitado do Estado brasileiro, arrecada tão pouco que falta dinheiro pra comprar certificados de segurança.
Sertanejo
Não caiam nessa. Tem um lobby imenso dessas certicadoras para o governo enfiar certificação nas pessoas.Quem lembra do marco civil que quase meteu certificação para as pessoas poderem acessar a internet?As empresas tem que comprar essa m*** para pagarem imposto. É um absurdo pagar para pagar imposto.Devagarinho eles estão fazendo propaganda para fazer vocês acreditarem que ter um certificado é essencial.
Nathanael Chaves
"Status:RESOLVED WONTFIX"Não é possível xD
Guilherme Macêdo da Cruz
Dependendo do servidor não vela 15 min pra implantar.. E de graça.. Mas não gera essa segurança toda que falam..
Mickão
Galera que trabalha/conhece sobre o assunto: quão difícil é corrigir um site nessas condições e implantar a criptografia HTTPS nele?
Andre Kittler
A outra metade é auto assinado que requer uma dança de instalação de cadeia de certificado em cada desktop pois muitas vezes o acesso seguro é obrigatório, e todos os navegadores do mundo bloqueiam. Claro, pode (e normalmente deve) ser necessário Java, o que dependendo do site pode oferecer uma versão portable do firefox com java embutido, ou os meus preferidos: cata o firefox 35, instala, e usa ele!Coisas certas: * sites gov e segurança nunca tiveram jutas, apenas agora alguém sem o que fazer que notou isso. * Tudo é nativamente inseguro. Nunca compreendi porque diabos o "brasil inteiro" nunca foi hackeado. Talvez simplesmente ninguém se importa o bastante para fazer, ou talvez simplesmente ocorre toda a hora porém o cara que não tem o que fazer está escrevendo matérias obvias, mais fácil que investigar na prática o impacto.* ninguém se importa. Quem acessa .gov o faz por pura obrigação, e falha evidente de segurança não importa: tem de acessar, o guri da TI tem de fazer essa porcaria abrir, e se não gosta... chora.
Andre Kittler
Isso acontece desde o inicio dessa tal de internet.A culpa ou é do governo atual, seja quem o for, que opta para deixar assim (pois isso acontece desde o governo anterior né), ou é o cara que inventou tudo isso.
Jefferson Rodrigues
Isso acontece desde o governo Dilma.
paulogdm
Tem mais sobre essa história:https://bugzilla.mozilla.or...http://repositorio.serpro.g...
Danillo
Percebi isso mesmo. Entrei ontem no site do Vapt Vupt e apareceu como não seguro.
Danillo
Percebi isso mesmo. Entrei ontem no site do Vapt Vupt e apareceu como não seguro.