Mais de 9 mil domínios do governo não usam criptografia HTTPS no Brasil
47% dos domínios gov do Brasil não têm certificado digital TLS ou SSL, incluindo sites dos governos federal, estadual e municipal
Um levantamento da empresa de segurança DigiCert revela que 47% dos domínios .gov do Brasil não têm certificado digital TLS ou SSL, ou seja, não usam conexão HTTPS. Isso significa que mais de 9 mil domínios dos governos federal, estadual e municipal podem transmitir dados de formulário pela internet sem qualquer proteção: encontramos páginas vulneráveis de login, cadastros anti-telemarketing e sites para consulta de IPTU.
- Por que HTTPS não quer dizer “site seguro”
- Google Chrome vai bloquear conteúdo inseguro em sites HTTPS
A DigiCert contabilizou, no total, cerca de 19.900 domínios .gov no Brasil. Deles, 10.551 usam HTTPS com certificado TLS ou SSL, incluindo o portal único Gov.br do governo federal lançado este ano. Você verá um cadeado na barra de endereço indicando que a conexão é segura.
Claro, como já explicamos por aqui, uma conexão segura não significa que o site é seguro. Um estudo da consultoria de segurança PhishLabs mostrou que metade dos sites de phishing adotam o HTTPS para parecerem mais legítimos: os dados que você digitar estarão protegidos de invasores, mas cairão nas mãos de um criminoso.
Ou seja, o HTTPS é uma condição necessária, mas não suficiente, para um site seguro. Então é um problema que 9.356 domínios .gov.br sequer adotem esse tipo de proteção; vale lembrar que é possível obter certificados SSL de graça do Let’s Encrypt.
Por exemplo, o SIGESP (Sistema de Gestão de Pessoas), para servidores do Ministério da Saúde, tem uma página de login sem HTTPS — a senha é transmitida em texto puro. O SIG (Sistema de Informações Gerenciais), da estatal Ebserh (Empresa Brasileira de Serviços Hospitalares), também está desprotegido; ele permite fazer login e recuperar senha através de CPF.
Sites estaduais e municipais têm login e cadastro sem HTTPS
Isso não fica restrito apenas à esfera federal. O portal de webmail da prefeitura de Manaus (AM) não tem HTTPS: novamente, login e senha são transmitidos em texto puro.
E, como revelamos anteriormente no Tecnoblog, diversos sites para cadastro anti-telemarketing ainda seguem sem HTTPS, transmitindo dados pessoais, login e senha sem proteção. É o caso dos sistemas “não perturbe” de Alagoas, Ceará, Maranhão, Mato Grosso do Sul, Paraíba e Rio Grande do Sul. (O Procon-SP só adotou esse padrão em agosto de 2019.)
O site para checar agendamentos da eCNH no Detran de São Paulo não tem HTTPS. O mesmo ocorre no sistema das prefeituras de Campo Grande (MS) e Rio de Janeiro para obter segunda via do IPTU.
A página do Rio para consulta do ITBI (imposto sobre a transmissão de bens imóveis), além de não ter HTTPS, ainda usa URLs que terminam em “.exe” — que, felizmente, não fazem download de nenhum arquivo executável.
O portal GNRE (Guia Nacional de Recolhimento de Tributos Estaduais) de Pernambuco está sem HTTPS. E a cidade de Ubatuba (SP) tem um portal de serviços todo sem HTTPS; curiosamente, o site da prefeitura já usa um certificado de criptografia.
Alguns domínios da Receita Federal e da Caixa Econômica Federal não usam HTTPS, mas talvez isso seja menos preocupante: são apenas páginas informativas, sem formulários para inserir dados pessoais ou fazer login. Os sites de serviços da Receita — como Regularização de CPF, por exemplo — têm certificado SSL.
![Como registrar um domínio de site [Google Domains]](https://files.tecnoblog.net/wp-content/uploads/2021/10/registrar-dominio-destaque-340x191.png)
![Qual o melhor DNS [e por que?]](https://files.tecnoblog.net/wp-content/uploads/2019/03/DNS-340x191.png)
