Seu site está preparado para as mudanças de novembro?

por

Começando em novembro, o Google estará alertando os usuários do Chrome que visitarem sites com certificados digitais com padrão antigo, o que pode assustar clientes de sites de e-commerce e outros que requeiram confiança.

“…isto pode levar o usuário a evitar a compra ou transação, levando à perda de receita.”

HTTPS

SHA-1 é um padrão de hashing usado entre outras coisas para autentificar os certificados digitais de sites seguros (HTTPS). Este padrão está em vias de ser aposentado em prol do SHA-256, depois da descoberta de potenciais problemas com o SHA-1 (*). A Google decidiu “ajudar” a acelerar o processo de mudança, e a partir de novembro, o Chrome passará a alertar o usuário que acessar um site que use certificado SHA-1 com qualquer data de expiração em 2016 ou posterior, de que o certificado tem problemas. Para sites que dependem da confiança do usuário na transação, isto pode levar o usuário a evitar a compra ou transação, levando à perda de receita. Na versão seguinte do Chrome, no início do ano, sites que continuarem com certificados SHA-1 irão aparecer com o aviso de HTTPS em amarelo ao invés de verde, gerando ainda mais suspeita.

Veja abaixo como ficará a experiência para os usuários do Chrome ao acessar os sites:

Sites com certificados SHA-1 no Chrome

Sites com certificados SHA-1 no Chrome que expirem em 2016

E atenção, não são só sites. Desenvolvedores de código que façam assinatura digital do executável ou qualquer outra aplicação que também utilize este padrão nos certificados digitais poderão ser impactadas. A partir de 1o de janeiro de 2017, a Microsoft também deixará de confiar em certificados SHA-1.

Em dúvida sobre o que fazer? Entre em contato com a Leverage e a gente te orienta a fazer esta transição e a evitar espantar os clientes do seu site. Ligue para e converse conosco.

* = Foi estimado que, de posse de poder computacional suficiente, é possível gerar um certificado forjado que cause colisão com a assinatura do SHA-1, levando a vítima a achar que está entrando em um site legítimo. Em valores de hoje, se estima que o investimento em hardware para viabilizar o ataque ficaria em torno de US$2.000.000,00, mas até 2018, acredita-se que o custo se reduziria a ponto de tornar possível para qualquer quadrilha de criminosos impersonar sites com certificados que seriam percebidos como válidos pelo navegador, e por isto a pressa.

Categoria : Criptografia, Other News
Tags : , , , , , ,