Notícias

Google Chrome deixará de carregar sites com certificado HTTPS inválido

google chrome https
10
out

O Google Chrome deixará de carregar sites com HTTPS que usam certificados antigos da Symantec. São cerca de mil domínios, incluindo no Brasil, que vão ativar uma mensagem de erro no navegador. A versão 70 deve ser lançada em 16 de outubro.

O pesquisador de segurança Scott Helme analisou um milhão de sites mais acessados da internet, de acordo com o ranking da Alexa, e encontrou 1.139 domínios com certificados que o Chrome vai considerar inválidos. Entretanto, vale lembrar que eles tiveram mais de um ano para se preparar.

No Brasil, isso inclui sites como Assine Globo (para assinar revistas da editora), Bagaggio (venda de malas e mochilas), VR Benefícios e GreenCard (vale-refeição e alimentação). Então, ao abrir as ferramentas de desenvolvedor, o Chrome avisa que o certificado SSL não é confiável no M70. Com isso, os usuários ficam impedidos de carregar esses recursos.

Enquanto isso, em versões beta do Chrome 70, você se depara com uma mensagem de erro e o código: NET::ERR_CERT_SYMANTEC_LEGACY. Além disso, o navegador diz: “avisos podem ser comuns enquanto os sites atualizam a segurança. Isso deve melhorar em breve”.

Lista elaborada em 24 de setembro. Desde então, alguns sites brasileiros que ainda usavam certificados antigos foram atualizados. Ou seja, você não encontrará problemas no Consumidor.gov.br, Águia Branca (venda de passagens de ônibus), Planeta DeAgostini (empresa de colecionáveis) e Tecidos na Internet.

Google Chrome não confia em alguns certificados HTTPS da Symantec

O Google acusa a Symantec de emitir certificados HTTPS enganosos e errados, por isso, deixou de confiar neles no ano passado. Aliás, isso envolve certificados emitidos pela Symantec antes de junho de 2016, incluindo da Legacy Thawte, VeriSign, Equifax, GeoTrust e RapidSSL.

O certificado HTTPS criptografa os dados entre seu computador e o website que você está acessando, assim, evitando que você seja interceptado. Ele é feito por uma autoridade de certificação, que pode ser bloqueada pelos navegadores se sua confiança for violada — é o que aconteceu com a Symantec.

Estes sites no Brasil ainda não atualizaram seu certificado HTTPS:

  • cadastro.uol.com.br
  • assineglobo.com.br
  • bagaggio.com.br
  • exchangecorp.com.br
  • schulz.com.br
  • vr.com.br
  • grupogreencard.com.br
  • psicopedagogia.com.br

Estes sites estavam com certificado inválido da Symantec, mas já atualizaram:

  • consumidor.gov.br
  • accesstage.com.br
  • aguiabranca.com.br
  • planetadeagostini.com.br
  • tecidosnainternet.com.br
  • grupoplataforma.com.br

A análise de Helme também menciona o domínio nikon.com.br, mas ele sequer tem certificado HTTPS, sendo marcado como “Não seguro” pelo Chrome. A companhia japonesa encerrou suas atividades no Brasil após um plano global de reestruturação.

Informações: TechCrunch

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *