Melhores práticas 07-19-2018

Viu um aviso de falta de segurança no Chrome? Saiba o motivo e o que fazer

DigiCert

Última atualização: agosto de 2021

A versão 68 do navegador Google Chrome introduziu um novo aviso de falta de segurança na barra de endereço exibido sempre que você visita uma página insegura. A versão mais recente do Chrome também mostra um pop-up quando você clica na mensagem que explica que a conexão é insegura e um aviso sobre não inserir informações confidenciais no site.

O aviso de falta de segurança significa que a conexão com a página não é segura. Ele alerta você de que as informações enviadas e recebidas na página não estão protegidas e podem ser roubadas, lidas ou modificadas por invasores, hackers e entidades com acesso à infraestrutura da Internet (como provedores de serviços de Internet, ou ISPs, e governos). O aviso de falta de segurança não significa que o seu computador ou o site que você visita foram afetados por malware. Ele apenas alerta você de que a conexão com a página não é segura.

Os proprietários têm a responsabilidade de proteger os seus sites, e embora os visitantes não possam alterar o aviso de segurança, podem pedir aos proprietários que implementem medidas de segurança. Este artigo aborda o que está por trás do aviso de falta de segurança e o que proprietários e visitantes podem fazer para solucioná-lo.

Primeiro, observe que o aviso é exibido de forma diferente em navegadores diferentes. Veja como o aviso aparece nos navegadores Chrome, Safari e Firefox.

Aviso de falta de segurança no Chrome:

Not Secure warning in Chrome

Aviso de falta de segurança no Safari:

Not Secure warning in Safari

Aviso de falta de segurança no Firefox:

Not Secure warning in Firefox

HTTP → inseguro, HTTPS → seguro

Sites sem segurança exibem um aviso de falta de segurança em todas as páginas que usam o protocolo HTTP, porque é incapaz de fornecer uma conexão segura. Historicamente, esse foi o principal protocolo usado para comunicação na Internet.

Nos últimos anos, os sites passaram a usar HTTPS, onde o S significa “seguro” — que fornece criptografia e autenticação e é usado por milhões de sites, incluindo Google, Facebook e Amazon, para proteger as suas informações ao navegar, fazer login e realizar compras.

Alguns sites usam conexões HTTPS seguras apenas em algumas páginas, mas não todas; nesses casos, você pode ver o aviso de falta de segurança somente nas páginas inseguras.

Se você for um visitante ou proprietário/operador de um site que usa HTTP e vir o aviso, veja abaixo o que pode fazer.

Para proprietários/administradores de sites

O aviso de falta de segurança é exibido em qualquer página que usa HTTP, um protocolo inseguro. Caso encontre o aviso em um site que você possui ou opera, habilite o protocolo HTTPS para o site.

O HTTPS usa o protocolo TLS/SSL para fornecer uma conexão segura, que é criptografada e autenticada. Para usar HTTPS, é preciso obter certificados TLS/SSL. Depois, você pode instalar o certificado e habilitar o protocolo HTTPS no servidor Web.

Se você for o administrador técnico ou desenvolvedor do site, comece avaliando se existe suporte para HTTPS. Alguns sites têm suporte parcial, o que significa que usam HTTPS em algumas partes ou que não escolheram usar HTTPS por padrão. Nesse caso, veja o que é preciso fazer para implantar o HTTPS em todo o site por padrão. Nosso guia para configurar HTTPS em todos os lugares ajudará você a começar.

Se ainda não tiver implantado o HTTPS, comece lendo nosso guia de como escolher o tipo certo de certificado tls/ssl para ajudar a entender de qual certificado TLS você precisa. Suas necessidades irão variar, dependendo de quantos nomes de domínio você opera e se quer que sua empresa seja validada para confiança adicional para os usuários. Depois, leia o nosso guia para usar HTTPS em todos os lugares para entender as etapas necessárias para usar HTTPS por padrão.

Os principais navegadores, incluindo Google Chrome, Mozilla Firefox, Microsoft Edge e Apple Safari, têm uma interface que avisará os usuários sobre as páginas inseguras. Por isso, é importante oferecer suporte para HTTPS tanto pelos benefícios de segurança como para proporcionar a melhor experiência ao usuário. Além disso, muitas novas tecnologias da Web exigem HTTPS, e algumas podem melhorar o desempenho do site.

Para visitantes de sites

O aviso de falta de segurança é exibido porque a página da Web ou site não fornece uma conexão criptografada. Quando o seu navegador do Chrome se conecta com um site, pode usar HTTP (inseguro) ou HTTPS (seguro).

Qualquer página que use conexões HTTP exibirá o aviso de falta de segurança. Evite realizar transações confidenciais nessas páginas, incluindo fazer login ou fornecer informações pessoais ou de pagamento. Navegar sites inseguros também pode deixar você em risco caso exiba informações perigosas ou não permitidas em seu país.

Como visitante, você não pode corrigir o problema. A única forma de resolver o problema é o operador do site obter um certificado TLS e habilitar o HTTPS. Assim, o navegador pode se conectar com segurança usando o protocolo HTTPS, o que ocorre automaticamente quando o site está configurado da forma certa.

Se um site que você visita com frequência exibe o aviso de falta de segurança, entre em contato e peça para que comecem a usar HTTPS. Você também pode tentar substituir manualmente HTTP por HTTPS na URL, já que alguns sites têm suporte parcial para HTTPS mas não oferecem esse protocolo por padrão.

Mesmo para a navegação básica com HTTP — como ao ler receitas ou conferir as notícias — tudo o que você vê pode ser monitorado, modificado e registrado por entidades como o seu provedor de Internet ou o governo. Isso quer dizer que você não tem qualquer privacidade ao navegar por essas páginas. Em redes Wi-Fi públicas, como aquelas de cafés ou aeroportos, existe um risco adicional com os invasores locais — outros computadores na mesma rede — que podem exibir e monitorar as páginas que você vê, as informações que você envia e o que você pesquisa.

UP NEXT
pki

3 Surprising Uses of PKI in Big Companies and How to Ensure They Are all Secure

5 Min

Histórias em destaque

A confiança digital fortalece a segurança das eleições

Um voto para a confiança digital

08-28-2024

Como solucionar problemas de DNS para segurança e desempenho

07-15-2024

O fim da confiança na Entrust: principais lições para CAs e organizações