Desde 2014, o Google promove a ideia de “lugar seguro para se navegar” por meio de sites que usem o protocolo HTTPS, ou seja, que tenham instalado em seus servidores os Certificados SSL/TLS. Com isso, foram implementadas regras de demonstração de segurança como o cadeado fechado da cor verde e a palavra “seguro” na barra de endereços do navegador, além dele ser reconhecido como prática em SEO recompensável, a classificação com o melhor ranking nas buscas para estes sites. Mas agora, esses modelos de segurança serão alterados.
O que muda a partir de agora?
A primeira delas é que o Google já havia anunciado que em algum momento faria um alerta sobre sites inseguros aos usuários que não possuem Certificados SSL/TLS instalados em seus servidores web. Porém, este alerta traria um esforço enorme de verificação para a gigante tech, tendo em vista que, em 2016, apenas 24 dos 100 maiores sites usavam SSL. Hoje este número chega a 81 dos 100 maiores, o que fez com que a verificação seja executada com muito menos esforço.
A segunda observação seria que os usuários estão confundindo segurança com confiabilidade. O que acontece é que qualquer usuário pode adquirir um SSL para seu site, mesmo que este não seja idôneo. Isto ocorre porque diversos modelos fazem a verificação automática de registro do domínio e não o vinculam à organização no qual fazem parte. São os chamados SSL de Validação de Domínio (DV). Assim, quando o usuário se depara com a palavra “seguro” na barra de endereços, supõe-se que a organização detentora do domínio é confiável e não fará mau uso de seus dados ou até mesmo que irá entregar a mercadoria prometida – em casos dos e-commerces, por exemplo – após pagamento.
É importante observar que os Certificados SSL que fazem este tipo de verificação e vinculação com o devido detentor do domínio como Validação de Organização (OV) e Validação Estendida (EV), em que o usuário pode buscar a chave pública disposta no navegador para saber quem é de fato a instituição que se quer realizar a transação, seja ela uma instituição de dados ou empresa financeira. Com a nova medida, o navegador Chrome, o mais utilizado no planeta (cerca de 60%), deverá indicar apenas sites que NÃO são seguros – Not Secure –, ou seja, os que não possuem SSL instalado em seus servidores e não utilizam o protocolo HTTPS, deixando as informações dos usuários vulneráveis a ataques de terceiros, já que não criptografam estes dados ora inseridos em seus websites.
