Barra de endereços do Google Chrome deixa de exibir nomes de sites certificados
O Google fez mais uma mudança na forma com que o navegador Chrome apresenta os recursos de segurança usados por páginas criptografadas, ou HTTPS. O ícone do cadeado está mantido — ao menos por enquanto —, mas alguns sites, que antes tinham o direito de exibir o nome da empresa na barra de endereços, não terão mais esse diferencial a partir do Chrome 77.
O nome na barra de endereços era uma exclusividade dos sites detentores dos chamados certificados digitais de validação estendida (conhecidos pela sigla EV-SSL). Todos os certificados digitais dão direito ao cadeado e ao uso do HTTPS para que um site se comunique com o visitante por meio da criptografia, mas apenas a validação estendida dava direito ao nome na barra.
Pesquisas citadas pelo Google para justificar a mudança concluem que usuários não observam a falta ou a presença do nome ao decidir quando digitar um dado sensível.
A companhia também citou um caso em que um certificado foi emitido para uma empresa registrada como “Identity Verified” (Identidade Verificada). Como o rótulo exibido na barra depende do nome legal da empresa dona do site, isso poderia confundir os usuários em vez de facilitar a identificação de sites legítimos.
O Google não é o primeiro a adotar essa medida. A Apple removeu a exibição do nome cadastrado nos certificados estendidos em 2018 no iOS, o sistema operacional que era usado no iPhone e, à época, no iPad. A fabricante depois levou a mudança para o Safari do macOS, usado em notebooks e computadores da marca. Por falta de espaço, o Google já não mostrava informações completas do EV-SSL em celulares.
A Mozilla, desenvolvedora do Firefox, deve acompanhar a Apple e o Google no Firefox 70, planejado para outubro. Essa versão deve remover os elementos da barra de endereço relativos aos certificados de validação estendida.
Na prática, empresas que adquiriram esses certificados para seus sites — ao custo de até R$ 2 mil, enquanto os mais simples podem ser obtidos de graça — deixarão de ter os maiores diferenciais oferecidos por eles.
Os detalhes do certificado agora só aparecem na janela de informações do site, acionada por um clique ou toque no cadeado.
Para que servem esses certificados?
Para que um site possa usar criptografia, apresentar o cadeado e usar o protocolo HTTPS corretamente, ele deve enviar um certificado digital ao navegador web durante a conexão. Esse certificado precisa estar assinado por uma autoridade certificadora (AC), que deve ser confiada pelo próprio navegador web.
Se a assinatura não for válida, o navegador gera um erro e alerta o usuário sobre a possibilidade de fraude na conexão.
Para obter essa assinatura digital de uma autoridade certificadora, o site deve passar por um processo de validação. O objetivo é impedir a assinatura de certificados para sites que o solicitante não controla. Se fosse possível obter certificados para qualquer site, hackers poderiam criar páginas clonadas no mesmo endereço das páginas oficiais e não haveria nenhuma forma de identificar golpes na web. Com a validação, apenas o Google deve obter um certificado para “google.com”, por exemplo.
O processo de validação pode ocorrer de três maneiras: domínio (DV), organização (OV) ou estendido (EV). Certificados de validação estendida, além de validarem a titularidade do site, também validavam as informações da entidade responsável pelo site e seu país de origem. A validação de domínio (DV) confere apenas a titularidade do endereço, podendo ser realizada de forma automática e até gratuita.
A proteção para a transmissão de dados é a mesma em todos métodos de validação. Certificados OV e EV apresentam informações adicionais sobre os sites quando o usuário clica sobre o cadeado na barra de endereços do navegador, mas cada navegador expõe esses dados de uma maneira específica.
A criptografia de dados embaralha o conteúdo de uma transmissão, impedindo a espionagem dos dados trafegados. Essa prática também garante a integridade da informação: se algo for alterado no trajeto, os dados não poderão ser desembaralhados corretamente, denunciando a tentativa de interferência.
Google quer aposentar o ‘cadeado’
O Google Chrome já está rotulando sites sem certificados digitais como “não seguros”. Antes, esse rótulo era reservado aos sites que apresentavam certificados digitais inválidos.
Essa é a primeira medida em uma série de etapas anunciadas pelo Google ainda em 2018. A empresa pretende eliminar completamente o cadeado de segurança dos sites, invertendo a lógica tradicional dos navegadores. Dessa forma, conexões antes apresentadas com “seguras” (visual com cadeado) serão consideradas normais (visual neutro) e conexões sem criptografia, antes realizadas sem aviso (neutras), serão “inseguras”.
A palavra “seguro”, que aparecia ao lado dos cadeados na barra de endereços, já foi removida. Ainda não há data para a remoção do cadeado — um dos ícones mais reconhecidos da segurança na web.
Conteúdo criptografado predomina
O uso de certificados digitais e criptografia costumava ser obrigatório apenas para páginas de pagamentos, bancos e outros sites com conteúdo sensível. No entanto, ataques cibernéticos empurraram praticamente toda a web para a criptografia ao longo dos últimos dez anos.
Em 2010, o Facebook foi obrigado a adotar criptografia para o site inteiro após a revelação da técnica de ataque “FireSheep”, que era aplicável a qualquer serviço on-line e permitia o roubo de contas em redes Wi-Fi.
Em 2014, o Google informou que passaria a favorecer sites com criptografia nos resultados das pesquisas e, em 2015, ataques de sequestro de tráfego interferiram no conteúdo de anúncios, demonstrando a relevância da integridade oferecida pela criptografia à publicidade na internet.
De acordo com o Google, usuários hoje passam 91% do tempo de navegação do Chrome para Windows em sites com HTTPS; no Android, é 90% do tempo. Levando em conta usuários do Chrome em todas as plataformas, os brasileiros passam 90% do tempo navegando em sites criptografados — há três anos, a cifra era de 70%.
(G1)