A contagem regressiva começou. Em fevereiro de 2018, o Google anunciou que em julho deste ano o Chrome v68 passará a marcar sites HTTP como “não seguros”. Esta posição do Google começou muito tempo atrás, quando ele e outros fabricantes pressionaram o mercado para o “encrypted by default” ou “HTTPS everywhere”. Analisamos as implicações da web caminhar para a encriptação por padrão em nossas Previsões de Segurança para 2018.
De acordo com as estatísticas do Google, 81 dos 100 principais sites utilizam HTTPS por padrão. Este número tende a crescer nos próximos meses.
Prevejo que esta versão do navegador irá estimular muitas organizações a adotarem de fato o HTTPS, conforme procuram incentivar (ou preferem não desencorajar) seus clientes ou potenciais clientes a interagirem com seus sites.
Ao analisar sites populares percebo que muitas páginas de login já usam HTTPS, mas as páginas iniciais desses mesmos sites ainda estão usando HTTP. Isso inclui sites de bancos, de varejistas e de viagens. Como está o seu site? É nítida a necessidade dos administradores de sites trabalharem neste tema.
O caminho rumo ao “Não Seguro”
Há anos o Google tem incentivado os webmasters a atuarem usando boas práticas. Em 2014, o Google começou a classificar sites HTTPS com melhor pontuação do que sites HTTP em seus resultados de buscas. Em setembro de 2016, o Google anunciou que o Chrome iria marcar sites que não usassem HTTPS e que possuíssem campos de senha como “não seguro” para garantir que o usuário do site soubesse que seus dados pessoais não estavam em segurança. Agora vemos o próximo passo para o fim do HTTP, com o Google anunciando em fevereiro deste ano que a partir de 24 de julho o Chrome v68 passará a marcar sites usando HTTP como “não seguros”. Outros fabricantes de navegadores estão propensos a seguir o mesmo caminho.
Por que o HTTPS é uma coisa boa?
Provavelmente não precisaria mencionar isso aqui, mas a migração para HTTPS é uma coisa boa, conforme as empresas procuram proteger a privacidade dos dados e transações de seus clientes, bem como a integridade dos dados trocados. Conforme um crescente número de regulamentos orientados à privacidade é imposto (por exemplo, o GDPR em 25 de maio), nunca foi tão importante para as organizações demonstrarem para auditores, executivos de compliance e autoridades que levam a sério as questões em torno da privacidade e segurança.
Quais são as implicações e o impacto para a privacidade?
Conforme o HTTPS se tornar norma, veremos mudanças no comportamento do usuário ao encontrarem sites HTTP e HTTPS. Espero também vermos mudanças na adoção do HTTPS por toda a web.
Prevejo que o uso do HTTP em um site será associado com a falta de segurança. Os usuários que se depararem com sites que não migraram para HTTPS considerarão outras opções (por exemplo, sites de concorrentes).
Antecipo que os usuários experimentarão uma fadiga no HTTPS. Enquanto atualmente o uso do HTTP denota insegurança na transmissão dos dados, conforme organizações legítimas e cibercriminosos se movam para o HTTPS esta distinção deixará de ocorrer na barra de endereços. Isso será ainda mais aparente quando o HTTPS estiver em todo lugar.
A ubiquidade do HTTPS pode desencorajar os usuários a examinarem os certificados antes de usar um site; certificados que podem ser roubados por atacantes mal-intencionados ou serem gerados de forma legítima por cibercriminosos. Isto pode não ser um problema tão grande, pois sabemos que na prática o usuário médio provavelmente já não faz esta verificação.
* Carl Leonard é analista de segurança da Forcepoint
