Blog do Forcepoint Security Labs: contagem regressiva para o HTTP “NÃO SEGURO”

Por Carl Leonard, principal analista de segurança da Forcepoint

A contagem regressiva começou. Em fevereiro de 2018, o Google anunciou que em julho deste ano o Chrome v68 passará a marcar sites HTTP como “não seguros”. Esta posição do Google começou muito tempo atrás, quando ele e outros fabricantes pressionaram o mercado para o “encrypted by default” ou “HTTPS everywhere”. Analisamos as implicações da web caminhar para a encriptação por padrão em nossas Previsões de Segurança para 2018.

(Uma nota do autor do blog: Apesar das datas e recursos do Google estarem sujeitos a alterações, ainda assim vale a pena adotar assim que possível o protocolo HTTPS em seu site para proteger a privacidade de seus clientes. Você também deve avaliar as implicações da web se mover para a encriptação por padrão e o que isso significa para a visibilidade do seu tráfego de rede).

De acordo com as estatísticas do Google, 81 dos 100 principais sites utilizam HTTPS por padrão. Este número tende a crescer nos próximos meses.
Prevejo que esta versão do navegador irá estimular muitas organizações a adotarem de fato o HTTPS, conforme procuram incentivar (ou preferem não desencorajar) seus clientes ou potenciais clientes a interagirem com seus sites.

Ao analisar sites populares percebo que muitas páginas de login já usam HTTPS, mas as páginas iniciais desses mesmos sites ainda estão usando HTTP. Isso inclui sites de bancos, de varejistas e de viagens. Como está o seu site? É nítida a necessidade dos administradores de sites trabalharem neste tema.

O caminho rumo ao “Não Seguro”
Há anos o Google tem incentivado os webmasters a atuarem usando boas práticas. Em 2014, o Google começou a classificar sites HTTPS com melhor pontuação do que sites HTTP em seus resultados de buscas. Em setembro de 2016, o Google anunciou que o Chrome iria marcar sites que não usassem HTTPS e que possuíssem campos de senha como “não seguro” para garantir que o usuário do site soubesse que seus dados pessoais não estavam em segurança. Agora vemos o próximo passo para o fim do HTTP, com o Google anunciando em fevereiro deste ano que a partir de 24 de julho* o Chrome v68 passará a marcar sites usando HTTP como “não seguros”. Outros fabricantes de navegadores estão propensos a seguir o mesmo caminho.

*Você pode monitorar a data exata de lançamento e a agenda do Google e seu blog de lançamento.

Por que o HTTPS é uma coisa boa?
Provavelmente não precisaria mencionar isso aqui, mas a migração para HTTPS é uma coisa boa, conforme as empresas procuram proteger a privacidade dos dados e transações de seus clientes, bem como a integridade dos dados trocados. Conforme um crescente número de regulamentos orientados à privacidade são impostos (por exemplo, o GDPR em 25 de maio), nunca foi tão importante para as organizações demonstrarem para auditores, executivos de compliance e autoridades que levam a sério as questões em torno da privacidade e segurança.

Qual é a experiência para o usuário?
O blog Chromium explica como os usuários do Chrome receberão o aviso de “não seguro” na barra de endereços.

Quais são as implicações e o impacto para a privacidade?
Conforme o HTTPS se tornar norma, veremos mudanças no comportamento do usuário ao encontrarem sites HTTP e HTTPS. Espero também vermos mudanças na adoção do HTTPS por toda a web.

Prevejo que o uso do HTTP em um site será associado com a falta de segurança. Os usuários que se depararem com sites que não migraram para HTTPS considerarão outras opções (por exemplo, sites de concorrentes).

Antecipo que os usuários experimentarão uma fadiga no HTTPS. Enquanto atualmente o uso do HTTP denota insegurança na transmissão dos dados, conforme organizações legítimas e cibercriminosos se movam para o HTTPS esta distinção deixará de ocorrer na barra de endereços. Isso será ainda mais aparente quando o HTTPS estiver em todo lugar.

A ubiquidade do HTTPS pode desencorajar os usuários a examinarem os certificados antes de usar um site; certificados que podem ser roubados por atacantes mal-intencionados ou serem gerados de forma legítima por cibercriminosos. Isto pode não ser um problema tão grande, pois sabemos que na prática o usuário médio provavelmente já não faz esta verificação.

Para mais informações sobre as implicações da criptografia por padrão leia nossas Previsões de Segurança para 2018, que explica como acreditamos que atacantes maliciosos e organizações responderão a isso.

Dicas para mitigar o impacto
Não se esqueça de monitorar as datas de lançamentos do Chrome v68 para que saiba quando a mudança irá ocorrer. Use o site https://www.chromestatus.com/features/schedule

Migre seu site do HTTP para HTTPS; caso contrário o Chrome irá marcá-lo como “não seguro” a partir de julho, assumindo que os usuários atualizarão seus navegadores para a versão 68, e sabemos, é claro, que não o farão imediatamente de forma generalizada.

Considere a possibilidade de aumentar sua visibilidade do crescente tráfego HTTPS que ocorre em sua rede. Módulos de inspeção SSL adicionados ao seu gateway de segurança web podem ajudar.

Desejo a você tudo de bom em sua jornada rumo ao “encriptado por padrão”.