Uma olhada nos indicadores de segurança da interface do usuário do navegador

HTTP e HTTPS

HTTPS é um protocolo de rede que os navegadores usam para se comunicar com segurança com servidores web. HTTPS é uma alternativa segura a um protocolo muito mais antigo, chamado Hyper Text Transfer Protocol, ou HTTP. O HTTPS pode proteger os usuários, porque requer criptografia de que todos os dados trocados da Web (ou HTTP) são por meio de um protocolo criptográfico, chamado TLS  (HTTPS é literalmente * HTTP * sobre *TLS*)

Criptografar dados da web com uma chave secreta (como TLS faz) melhora a segurança do usuário, impedindo que os invasores leiam ou alterem o conteúdo original em trânsito. Esses ataques de rede são conhecidos como ataques man-in-the-middle (MITM). Os pesquisadores demonstraram repetidamente que os invasores do MITM podem, em essência, ler ou modificar qualquer tráfego HTTP, sem que o usuário saiba.

A segurança adicional torna o HTTPS ideal para aplicativos da Web que lidam com dados confidenciais, e a maioria dos servidores (por exemplo, servidores bancários ou de e-mail) já foram atualizados. Infelizmente, nem todos os servidores da Web o suportam, devido a várias restrições operacionais, como aumento da largura de banda, problemas herdados e assim por diante. Como existe um perigo potencial, os usuários preocupados precisam saber se estão navegando em uma conexão não segura.

Digite indicadores de segurança

Os navegadores informam os usuários sobre o status de segurança de uma conexão da Web, na forma de gráficos mostrados na barra de endereço (por exemplo, o ícone de cadeado antes da URL deste artigo). Estes indicadores de segurança pode ser negativo e avisar os usuários que eles estão em perigo potencial, ou positivo, para garantir a eles que a conexão é segura.

Os indicadores de segurança são usados ​​para comunicar dois aspectos de uma conexão da web; segurança de conexão e os votos de autenticidade do servidor da web remoto.

Segurança de conexão através de criptografia

Os indicadores informam sobre a segurança da conexão, distinguindo entre criptografada, sem criptografia e conteúdo misto conexões. Sites criptografados e não criptografados protegem todo ou nenhum conteúdo. Conteúdo misto significa que alguns componentes de sites criptografados estão sendo recuperados por canais não criptografados.

Os componentes que podem modificar o conteúdo da página (como scripts ou vetores) são chamados conteúdo ativo. Componentes com identidades fixas (como imagens estáticas ou fontes) são chamados conteúdo passivo.

Embora uma conexão da Web totalmente criptografada pareça segura, isso por si só não significa que um site seja seguro para navegar.

Autenticação de servidor e certificados digitais

Os invasores podem (e fazem) copiar o conteúdo de um site e redirecionar o tráfego de rede para seu próprio servidor malicioso, mesmo através de conexões criptografadas. O servidor deles teria apenas que apresentar um nome diferente, conhecido. TLS chave em vez do segredo original. Não tendo motivos para duvidar da legitimidade da conexão, os usuários desavisados ​​podem ser persuadidos a fazer login ou divulgar qualquer outra informação confidencial.

Em resposta, os navegadores autenticam os servidores, correlacionando as credenciais dos proprietários legítimos de servidores da Web com a chave de criptografia exclusiva que cada servidor apresenta. Dessa forma, os navegadores delegam essa verificação de credenciais a entidades de terceiros, chamadas Autoridades de Certificação (CAs) Os principais navegadores mantêm programas raiz para gerenciar sua própria confiança nas autoridades de certificação, que devem aderir a padrões estritos e requisitos de auditoria para serem confiáveis ​​pelo navegador.

O proprietário de um servidor da Web solicitando um certificado de uma CA confiável, como SSL.com, deve apresentar uma chave pública válida e provar que controla o nome de domínio e o servidor para o qual ele aponta. Se essas verificações forem bem-sucedidas, a CA emite um certificado digital para o proprietário, que o usa para criptografar e autenticar as conexões com seu site.

Os certificados são identidades digitais, contendo informações sobre a pessoa ou organização que possui um servidor. As CAs assinam criptograficamente cada certificado com uma assinatura digital, um mecanismo de integridade análogo aos lacres de cera - os invasores não podem duplicar a assinatura e teriam que invalidá-la antes de modificar o conteúdo. HTTPS requer um servidor da web para receber uma conexão de navegador com o certificado válido desse servidor. Os navegadores então verificam o certificado - se ele foi assinado por uma CA confiável, a conexão pode prosseguir. (Se um servidor apresentar um certificado diferente, revogado ou de outra forma inválido, o navegador encerra ou desabilita a conexão e avisa o usuário, usando mensagens de erro que examinaremos em detalhes em um artigo futuro).

Níveis de validação

Deve-se observar que nem todos os certificados oferecem o mesmo nível de segurança, e os indicadores de segurança podem distinguir entre os diferentes tipos de certificado emitidos para diferentes níveis de validação.

Problema de CAs Domínio validado (DV) para clientes que demonstraram controle sobre um domínio DNS. organização Validado (OV) os certificados são examinados para autenticar uma organização como uma entidade legal, bem como o controle de domínio. Finalmente, Validado estendido (EV) certificados - que podem exibir informações da empresa na própria barra do navegador - são reservados para clientes que passaram por várias verificações independentes (incluindo contato humano, referência a bancos de dados qualificados e análises de acompanhamento), bem como OV- e DV etapas de nível.

Status atual dos indicadores

Nos primeiros dias da Internet, o HTTP era a norma e o HTTPS foi introduzido como uma opção para os mais preocupados com a segurança. Como resultado, a maioria dos navegadores usava apenas positivo indicadores, ou seja, um bloqueio mostrando uma conexão HTTPS e (opcionalmente) se essa conexão usa um certificado EV. Hoje, para promover a consciência de segurança de maneira mais ampla, o Chrome, juntamente com o Firefox e o Safari, também começaram a adotar o uso de negativo indicadores, avisando os usuários de páginas com páginas de conteúdo ativo não criptografadas ou mistas. A tabela a seguir é um resumo do estado geral dos indicadores de segurança nos navegadores. Começando com HTTP (que não é seguro), cada item mais adiante na lista é mais seguro que os anteriores.

 

(Clique na imagem para ampliá-la)

Próximas mudanças e planos para o futuro

A equipe de segurança utilizável do Chrome lançou um proposta para alterar o comportamento deste navegador. Eles sugerem que todos os navegadores devem começar a alertar ativamente os usuários contra sites HTTP inseguros (ou HTTPS de conteúdo misto), com indicadores negativos, enquanto tentam remover completamente os indicadores de segurança positivos dos sites HTTPS.

Eles baseiam sua decisão em pesquisas que foram publicada em 2007, afirmando que os indicadores de segurança positivos são ignorados pelos usuários, ao contrário dos indicadores negativos que são percebidos como mais graves. O Chrome também argumentou em sua proposta original, que “os usuários devem esperar que a web seja segura por padrão, e eles serão avisados ​​quando houver um problema”.

Inscrito nessa ideia, a partir de setembro de 2018, as versões mais recentes do Chrome (69+) exibem um indicador negativo "Não seguro" em todos os sites HTTP e não mostram o indicador positivo "Seguro" para HTTPS.

O Firefox da Mozilla (desde a versão 58+) é um dos outros dois navegadores que adotaram indicadores de segurança negativos, mas apenas para sites com conteúdo ativo misto. Além disso, em um postagem oficial do blog, eles anunciaram seus planos futuros para indicadores de segurança da interface do usuário no Firefox: “O Firefox eventualmente exibirá o ícone de cadeado riscado para todas as páginas que não usam HTTPS, para deixar claro que não são seguras”.

O Safari da Apple (versão técnica 46+) é o navegador restante que usa indicadores negativos para sites com conteúdo ativo misto, embora eles não tenham feito declarações públicas sobre seus planos para indicadores de segurança no futuro.

Os navegadores Edge e Opera da Microsoft não falaram publicamente sobre seus planos sobre os indicadores de segurança da IU.

Conclusão

Estar seguro na Internet rede de apoio social ser o padrão, e os avisos do navegador ativo contra conexões HTTP inseguras podem ser uma grande motivação para que alguns proprietários de servidores da Web legados prestem atenção à segurança de seus sites e visitantes. Além disso, remover o indicador “Seguro” dos sites HTTPS é (indiscutivelmente) um passo para tornar o HTTPS a norma esperada. No que diz respeito à remoção total de indicadores positivos, alguns indicadores, como indicadores EV, ainda podem fornecer garantia importante para os visitantes em algumas circunstâncias. Qualquer que seja o futuro, à medida que o uso global de HTTPS aumenta, haverá algumas mudanças e desafios interessantes - portanto, continue nos verificando para obter informações futuras sobre esses e outros tópicos de segurança.

Como sempre, obrigado por ler essas palavras de SSL.com, onde acreditamos que um mais segura Internet é uma better Internet.

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.