Atualização do Chrome 70: segurança do site HTTPS e total desconfiança da Symantec


A partir de 17 de outubro de 2018, o Google lançou o Chrome 70 e, com ele, mais uma vez aumentaram seus avisos de segurança para sites que não são totalmente seguros em HTTPS. A linguagem usada pelo navegador também se tornou cada vez mais grave nos últimos dois anos:

Os atacantes vão te enganar!

Um dos alvos mais específicos desses novos avisos de segurança tem a ver com uma empresa chamada Symantec. Do blog de segurança on-line do Google:

“[U]O sers começará a ver os intersticiais em tela cheia em sites que ainda usam problemas de certificados do Legacy Symantec PKI. Inicialmente, essa mudança atingirá uma pequena porcentagem de usuários e, em seguida, aumentará lentamente para 100% nas próximas semanas. ”

O Chrome planeja essa depreciação de confiança nos certificados de segurança da Symantec há mais de um ano, graças a algumas práticas duvidosas que comprometiam a segurança dos usuários quando visitavam sites confiáveis ​​e aparentemente seguros. A partir do plano do Google Chrome, do Google Security, o plano do Google para desconfiança dos certificados da Symantec:

"Em 19 de janeiro de 2017, uma publicação pública no grupo de notícias mozilla.dev.security.policy chamou a atenção para uma série de certificados de autenticação de site questionáveis ​​emitidos pela PKI da Symantec Corporation. O negócio de PKI da Symantec, que opera uma série de Autoridades de Certificação sob vários nomes de marca, incluindo Thawte, VeriSign, Equifax, GeoTrust e RapidSSL, emitiu vários certificados que não cumpriam com os Requisitos Básicos do Fórum do CA / Browser.

Durante a investigação subsequente, foi revelado que a Symantec havia confiado a várias organizações a capacidade de emitir certificados sem a supervisão apropriada ou necessária, e estava ciente das deficiências de segurança nessas organizações há algum tempo ”.

Aparentemente, os certificados da Symantec estavam sendo distribuídos pelos parceiros autorizados da Symantec, como se fossem doces de Halloween…

O que fazemos com o Symantec Desconfiança do Chrome 70?

As chances são pequenas de termos clientes que estejam usando os certificados HTTPS da Symantec afetados. Afinal de contas, esta tem sido uma mudança iminente conhecida há algum tempo e os operadores competentes do site já atualizaram seus certificados SSL com bastante antecedência. Mas, não há razão para deixar ao acaso e apenas assumir que tudo está bem nos sites que nos interessam.
Verificar as Autoridades de Certificação (CA) depreciadas é uma tarefa bastante simples que requer apenas alguns cliques por site. Aqui na Portent, montamos uma pequena equipe para percorrer todo o nosso livro de clientes e seguimos os seguintes passos:

Verifique sua autoridade de certificação SSL

  1. Inicie o Chrome
  2. Vá para o site que você deseja verificar
  3. Clique no cadeado ao lado do URL na barra do navegador
  4. clique no cadeado na barra do navegador Chrome 70

  5. Verifique se o certificado é válido e clique em "Certificado"
  6. clique no certificado no painel de informações

  7. Veja quem aparece na mensagem "Emitido por"
  8. verifique o emissor do certificado de segurança

Se você já usa o Chrome 70 e encontra um site ofensivo, há uma chance de ver o intersticial de tela inteira mencionado anteriormente. Isso tornará o processo de verificação muito mais rápido.

Infelizmente, e huzzah, nenhum dos nossos clientes está usando um certificado SSL da Symantec legado!

Há, no entanto, um punhado de sites que estão em HTTP ou não são protegidos por HTTPS por vários motivos. Para quem ainda não migrou para HTTPS ou teve problemas para fazê-lo, nosso arquiteto de desenvolvimento, Andy Schaff, preparou um guia abrangente para fazer a migração para HTTPS.

Segurança é um fator de classificação

Então, por que se incomodar em verificar se há um certificado SSL válido nos sites de nossos clientes?

Bem, em primeiro lugar, o HTTPS é um fator de classificação! Em todo o caminho até 2014, o HTTPS tem sido um fator de classificação. Começou como um desempate entre sites que, de outra forma, seriam classificados igualmente, agora faz parte das Diretrizes do Avaliador de Qualidade de Pesquisa do Google (minha ênfase é a seguinte):

As páginas de baixa qualidade geralmente não possuem um nível adequado de (Especialização, Autoritatividade ou Confiabilidade) E-A-T para efeitos da página. [For example the] MC [Main Content] não é confiável, por ex. uma página de checkout de compras que tem conexão insegura.

Em segundo lugar, se não nós, então quem? Não podemos nos dar ao luxo de deixar nada para assumir e acertar. Ao checar as pequenas coisas que importam, podemos provar que nos preocupamos com o bem-estar de cada um de nossos clientes, é uma coisa a menos com a qual eles precisam se preocupar. Afinal, é por isso que estamos aqui.

A postagem Atualização do Chrome 70: Segurança do site HTTPS e a total desconfiança da Symantec apareceu primeiro na Portent.

Artigos que devem ser vistos também:

De volta ao Básico: controle de Ângulos

https://teleingressos.com.br/como-manter-seu-orcamento-em-cheque-quando-voce-apenas-nao-pode-resistir-compras/

Wi-Fi na estrada: é tão fácil estar online em qualquer lugar do mundo

https://proverasfestas.com.br/seus-grandes-direitos-de-reembolso-de-congelamento-para-entregas-quedas-de-agua-trens-cortes-de-energia-buracos-e-mais/

The Marketing Mix: A Perspectiva do webmaster do site de jogos

404Checkr – links automaticamente em validade teste

[La Biblia de empresa] Como criar um manual de processo que aumenta sua produtividade, ajuda você a dimensionar seu negócio e economiza tempo e dinheiro

20 idéias bem sucedidas de negócios em casa na Índia