Muitos sites conhecidos estão prestes a serem bloqueados com mensagens de erro de segurança na próxima versão do Google Chrome, depois que o navegador perdeu a confiança de um grande provedor de certificados HTTPS após uma série de incidentes de segurança.
Espera-se que o Chrome 70 seja lançado por volta de 16 de outubro, quando o navegador começará a bloquear sites que executam certificados Symantec antigos emitidos antes de junho de 2016, incluindo os certificados Legacy Thawte, VeriSign, Equifax, GeoTrust e RapidSSL.
No entanto, apesar de mais de um ano para se preparar, muitos sites populares não estão prontos.
O pesquisador de segurança Scott Helme encontrou 1.139 sites no primeiro milhão de sites classificados pelo Alexa, incluindo Citrus, SSRN, o Banco Federal da Índia, Pantone, o governo da cidade de Tel Aviv, Squatty Potty e Penn State Federal, para citar apenas alguns.
Os certificados HTTPS criptografam os dados entre seu computador e o website/aplicativo que você está usando, tornando praticamente impossível que qualquer pessoa, mesmo em seu ponto de acesso Wi-Fi público, intercepte seus dados. Além disso, os certificados HTTPS comprovam a integridade do site que você está visitando, garantindo que as páginas não sejam modificadas de alguma forma por um invasor.
A maioria dos sites obtém seus certificados HTTPS de uma autoridade de certificação, que obedece a certas regras e procedimentos que, com o tempo, tornam-se confiáveis para navegadores da web.
É exatamente por isso que o Google encerrou os certificados da Symantec no ano passado. O gigante das buscas, e outros, acusou a Symantec de emitir certificados enganosos e errados - e, mais tarde, descobriu-se que a Symantec permitia que organizações não confiáveis emitissem certificados sem a supervisão rigorosa exigida. Isso forçou milhares de sites a reduzirem seus certificados pagos e substituí-los por novos para impedir que o site fosse sinalizado com mensagens de erro assim que o prazo final do Chrome 70 fosse atingido.
Mas, assim como os navegadores podem perder a confiança em uma autoridade de certificação, eles também podem ganhar a confiança de novos.
A Let’s Encrypt, um provedor de certificados HTTPS gratuitos, ganhou a confiança de todos os principais fabricantes de navegadores - incluindo Apple, Google, Microsoft e Mozilla - no início deste ano. Até à data, a organização sem fins lucrativos emitiu mais de 380 milhões de certificados.
Fonte: Tech Crunch