Chrome e Firefox começam campanha contra sites HTTP favorecendo SSL

Postado em: 23 de março de 2017 - Por: Alberto Martins

Aviso sobre acesso à páginas inseguras é apenas o começo …

Nas últimas semanas, as novas versões do Google Chrome 56 e do Mozilla Firefox 51 foram lançadas. Essas atualizações trazem um novo aviso sobre as páginas consideradas inseguras, aquelas que não utilizaChrome e Firefox começam campanha contra sites HTTP favorecendo SSLm SSL, que aparecem de forma proeminente na barra de endereços.

Isso faz parte da campanha do setor para desencorajar o uso do HTTP, que é inseguro e deixa a atividade online dos usuários vulnerável a espionagem, passível de interceptação, modificação e muito mais.

O Chrome 56 mostrará também exibe este aviso para qualquer campo de senha em páginas HTTP.

Isso inclui formulários que contém conteúdo misto de HTTPS com HTTP. Tanto a página em si, como os campos, precisam ser exibidos através de HTTPS para serem devidamente seguros e receberem a mensagem “Segura” e o tratamento de cadeado verde. Para ajudar a espalhar a notícia, o Google tem enviado mensagens através do Search Console para avisar os administradores se forem encontrados campos não seguros em seus sites.

No Firefox 51 o aviso será mais sutil. A página receberá um ícone com “cadeado quebrado, que mostra o cadeado com um sinal em vermelho. Se você clicar no cadeado, uma mensagem informará aos usuários que suas informações de acesso estão em risco.

No Firefox 51, por exemplo, não haverá qualquer aviso para os campos de cartões de crédito, embora os desenvolvedores da Mozilla tenham dito anteriormente que esse recurso está no roadmap deles. Infelizmente, a capacidade de detectar ativamente esses campos causou atraso no desenvolvimento.

O Chrome 56 para Android também avisará sobre os campos de senha / cartão de crédito servidos por HTTP, porém por questões de IU e diagramação, somente o símbolo “(i)” será mostrado na barra de endereços. Ao clicar em (i) o texto adicional será exibido. O mesmo comportamento também virá para uma versão futura do iOS, embora ainda não se tenha informação de quando a atualização será feita.

Avisos em formulário estão chegando a versões futuras de ambos os navegadores. Estes são avisos que aparecerão diretamente abaixo dos campos na página. Isto irá trazer mais atenção a campos inseguros e tornar mais fácil para os usuários verem os avisos. Ambas as plataformas móveis também receberão avisos em formulários em versões futuras.

Portanto, se seu site ainda utiliza apenas HTTP, considere a utilização de HTTPS como prioridade em seus planos. A web criptografada está chegando, e os avisos só vão ficar mais graves. Recentemente, um engenheiro do Google escreveu “eventualmente, o Chrome mostrará um aviso Não seguro para todas as páginas em HTTP, independentemente de a página conter campos de entrada confidenciais ou não”. Isto é, mesmo se você adotar uma das resoluções acima, você deve considerar, inevitavelmente, migrar seu site para usar HTTPS para todas as páginas.

O projeto Let’s Encrypt é uma Autoridade Certificadora (CA) que emite certificados digitais SSL/TLS gratuitos para qualquer site que necessitar. Proteja seu site de forma grátis e descomplicada com Certificado SSL Let’s Encrypt. Para maiores informações, acesse nossa Wiki.

Leia também