Contagem regressiva para o HTTP “não seguro”

Enquanto atualmente o uso do HTTP denota insegurança na transmissão dos dados, conforme organizações legítimas e cibercriminosos se movam para o HTTPS esta distinção deixará de ocorrer na barra de endereços. Isso será ainda mais aparente quando o HTTPS estiver em todo lugar

Compartilhar:

A contagem regressiva começou.  Em fevereiro de 2018, o Google anunciou que em julho deste ano o Chrome v68 passará a marcar sites HTTP como “não seguros”.  Esta posição do Google começou muito tempo atrás, quando ele e outros fabricantes pressionaram o mercado para o “encrypted by default” ou “HTTPS everywhere”. Analisamos as implicações da web caminhar para a encriptação por padrão em nossas Previsões de Segurança para 2018.

 

De acordo com as estatísticas do Google, 81 dos 100 principais sites utilizam HTTPS por padrão.  Este número tende a crescer nos próximos meses.

 

Prevejo que esta versão do navegador irá estimular muitas organizações a adotarem de fato o HTTPS, conforme procuram incentivar (ou preferem não desencorajar) seus clientes ou potenciais clientes a interagirem com seus sites.

 

Ao analisar sites populares percebo que muitas páginas de login já usam HTTPS, mas as páginas iniciais desses mesmos sites ainda estão usando HTTP.  Isso inclui sites de bancos, de varejistas e de viagens.  Como está o seu site?  É nítida a necessidade dos administradores de sites trabalharem neste tema.

 

O caminho rumo ao “Não Seguro”

 

Há anos o Google tem incentivado os webmasters a atuarem usando boas práticas.  Em 2014, o Google começou a classificar sites HTTPS com melhor pontuação do que sites HTTP em seus resultados de buscas.  Em setembro de 2016, o Google anunciou que o Chrome iria marcar sites que não usassem HTTPS e que possuíssem campos de senha como “não seguro” para garantir que o usuário do site soubesse que seus dados pessoais não estavam em segurança.  Agora vemos o próximo passo para o fim do HTTP, com o Google anunciando em fevereiro deste ano que a partir de 24 de julho o Chrome v68 passará a marcar sites usando HTTP como “não seguros”.  Outros fabricantes de navegadores estão propensos a seguir o mesmo caminho.

 

Por que o HTTPS é uma coisa boa?

 

Provavelmente não precisaria mencionar isso aqui, mas a migração para HTTPS é uma coisa boa, conforme as empresas procuram proteger a privacidade dos dados e transações de seus clientes, bem como a integridade dos dados trocados.  Conforme um crescente número de regulamentos orientados à privacidade é imposto (por exemplo, o GDPR em 25 de maio), nunca foi tão importante para as organizações demonstrarem para auditores, executivos de compliance e autoridades que levam a sério as questões em torno da privacidade e segurança.

 

Quais são as implicações e o impacto para a privacidade?

 

Conforme o HTTPS se tornar norma, veremos mudanças no comportamento do usuário ao encontrarem sites HTTP e HTTPS.  Espero também vermos mudanças na adoção do HTTPS por toda a web.

 

Prevejo que o uso do HTTP em um site será associado com a falta de segurança.  Os usuários que se depararem com sites que não migraram para HTTPS considerarão outras opções (por exemplo, sites de concorrentes).

 

Antecipo que os usuários experimentarão uma fadiga no HTTPS.  Enquanto atualmente o uso do HTTP denota insegurança na transmissão dos dados, conforme organizações legítimas e cibercriminosos se movam para o HTTPS esta distinção deixará de ocorrer na barra de endereços.  Isso será ainda mais aparente quando o HTTPS estiver em todo lugar.

 

A ubiquidade do HTTPS pode desencorajar os usuários a examinarem os certificados antes de usar um site; certificados que podem ser roubados por atacantes mal-intencionados ou serem gerados de forma legítima por cibercriminosos.  Isto pode não ser um problema tão grande, pois sabemos que na prática o usuário médio provavelmente já não faz esta verificação.

 

* Carl Leonard é analista de segurança da Forcepoint

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Dia da Internet: Phishing e data leak são duas das maiores ameaças ao usuário

Com o desenvolvimento acelerado da tecnologia, a crescente de tentativas de golpes no ambiente online também se torna uma realidade....
Security Report | Overview

Especialistas alertam para novos modelos personalizados de golpe com QR Code

Especialistas da Check Point Software identificaram novos ataques cibernéticos conhecidos por Quishing e explicam como evitar tais golpes...
Security Report | Overview

61% das empresas aumentarão investimento em Cloud Security, segundo relatório

As organizações participantes do estudo estimam que o aumento planejado dos investimentos em segurança na nuvem alcance os 37%, em...
Security Report | Overview

CTIR Gov emite recomendações de enfrentamento ao ransomware Black Basta

Em informe publicado no site oficial da organização, foram trazidas outras informações a respeito do malware, que tem mirado especificamente...