João Assis
João Assis, Analista de Segurança da Informação na Umbler

Sobre HTTPS: Chrome passa a exigir protocolo de segurança

E mais uma vez voltamos a falar sobre o bom e velho assunto do HTTPS.

Pois é, um tema um tanto quanto velho mas que, ainda hoje, pode trazer algumas dores de cabeça. O assunto voltou à tona depois que o Google anunciou que alertará como inseguros os sites que não utilizarem esse protocolo seguro para comunicação.

Mas, antes de comentarmos essa ação, vamos voltar algumas casas para ficarmos no mesmo ponto sobre o HTTPS, ok?

O que é mesmo HTTPS?

Vamos lá: a long time ago (1990), quando muitos de nós nem eram nascidos (eu incluso), surgiu um protocolo chamado HTTP (Hypertext Transfer Protocol), na camada de aplicação 7 do modelo OSI, que serviu como base de comunicação na nossa amada World Wide Web, famosa internétê.

Este protocolo foi revolucionário para a utilização da internet, e funcionava perfeitamente, até que os hackers chegaram para usar esse protocolo com outras intenções!

O que acontece é que esta comunicação trafega sem criptografia, ou seja, os dados ficam abertos e, uma pessoa mal intencionada, pode interceptar, ler e até alterar tranquilamente tudo que está passando no túnel de comunicação. E isto inclui usuários, senhas, dados de cartões, conversas, enfim, TUDO na camada de aplicação pode ser interceptado e alterado.

Um exemplo de ataque é o man in the middle, onde o atacante intercepta e pode alterar todas as informações que quiser.

Quatro anos depois, a Netscape Communication trouxe uma solução para essa questão: criou um protocolo chamado HTTPS (Hypertext Transfer Protocol Secure), para seu navegador, o Netscape.

A diferença? Então, esse trabalha com criptografia: um canal seguro e criptografado entre as duas partes (cliente e servidor, por exemplo). Dessa forma, por mais que o atacante consiga interceptar os dados, não conseguirá ler as informações – pois estarão todas criptografadas e ilegíveis.

Este protocolo foi inicialmente tratado como SSL (Secure Socket Layer) e, depois, evoluiu para o TLS (Transport Layer Security), especificado formalmente no ano de 2000, por meio da RFC 2818. Ele trabalha com um conceito de certificado de segurança, onde existem entidades atestadoras, que garantem a autenticidade do site, e conseguem criar túneis seguros entre o cliente e o servidor para que troquem as informações.

OK, agora que estamos esclarecidos com os conceitos, paramos e pensamos: por que, mais de 17 anos depois dessa tecnologia ter sido especificada, ainda encontramos sites trabalhando com HTTP?

Por que o Google está exigindo HTTPS?

Na época em que o HTTPS foi criado, a utilização da internet era bem pequena e as interações, que poderiam trazer riscos de privacidade e financeiros, eram bem menores. Porém, atualmente, as pessoas já compram mais pela internet do que nas lojas físicas. Logo, parece inaceitável que sites não utilizem HTTPS. Não é mesmo?

Então, foi mais ou menos essa linha que o Google seguiu, exigindo que a internet se torne um pouco mais segura.

Eis o anúncio: a partir de Outubro de 2017, os usuários que utilizam o Google Chrome a partir da versão 62, ao acessarem um site que possua campos de senha ou cartão de crédito e não utilize HTTPS, receberão uma mensagem informando que o site não é seguro por não possuir esse certificado.

Ainda que a comunicação oficial indique que apenas páginas com campos com cartão de crédito e senha serão sinalizadas, é importante dizer que é válido aplicar o HTTPS em todos os sites – considerando também páginas com campos diversos, como busca ou mesmo preenchimento de e-mail. E claro, o recomendável é manter todo o site baseado em HTTPS, para evitar transtornos futuros. Isso reforça a importância de todos os dados de um usuário serem tratados de uma forma segura.

O Google também planeja, eventualmente, mostrar a mensagem de “não seguro” para TODOS os sites que não possuam HTTPS.

Certo! E agora: como faço pra utilizar HTTPS no meu site?

Então, um dos motivos para a falta de utilização de HTTPS era o custo de um certificado (que costuma ser bastante caro) e também algumas dificuldades na hora de implementar, testes envolvidos e afins.

Hoje em dia, o acesso à compra de um certificado é muito mais fácil. Também existem algumas formas de gerar certificados e trabalhar com HTTPS por meio de plataformas open source, como o OpenSSL e o Let’s Encrypt.

O que, de fato, faz com que muitas pessoas ainda não utilizem o protocolo é uma certa dificuldade para implementação e também, infelizmente, a despreocupação com relação a esse assunto.

Para ativar o SSL/TLS, você precisa, primeiramente, obter seu certificado mas, temos uma ótima noticia boa pra você, que tem seus sites e aplicações hospedados na Umbler!

A Umbler oferece a utilização de SSL em seu site sem custo NENHUM, via Let’s Encrypt, uma autoridade em certificação provida pela Internet Security Research Group (ISRG). O Let’s Encrypt oferece certificados de TLS gratuitamente, com o objetivo de tornar o uso do HTTP obsoleto, deixando as navegações na internet mais seguras.

Ah, e se precisar, ajudamos você a implementar o SSL no seu site diretamente em seu painel, de forma rápida e prática para tornar seu site mais seguro. Aqui, temos um manual explicando passo a passo de como ativar SSL no seu site (ele estando na Umbler, ou não. Mas, vamos combinar, é melhor que esteja, né?)

Tem mais dúvidas, sugestões ou dicas sobre HTTPS? Deixe seu comentário! 😉

João Assis
João Assis, Analista de Segurança da Informação na Umbler