Na primeira parte do artigo falamos sobre os resultados globais da adoção do HTTPS considerando a distribuição entre países. Na conclusão observamos que o Brasil não ocupa posição de destaque no que se refere ao uso do HTTPS, colocado em 64º lugar no uso do protocolo seguro e 60º na relação entre HTTPS e HTTP. Em colocação abaixo da média para seus pares globais (países com quantidade similar de hosts).
Nessa segunda parte vamos abordar a adoção do HTTPS considerando apenas a realidade brasileira – pelos sistemas autônomos nacionais e pelos domínios com maior volume de tráfego.
Vale lembrar a declaração pelo Google de que o Chrome, a partir de julho de 2018, indicará como “não seguros” os sites utilizando HTTP. O que torna o tema em questão mais relevante.
Certificados no Brasil
O Brasil dispõem da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, mantida pelo Instituto Nacional de Tecnologia da Informação (ITI), que na sua última versão integra o repositório de confiança dos principais navegadores.
O problema ocorre quando o certificado da ICP-Brasil é de versão anterior ou o navegador do usuário não está atualizado com a cadeia de certificados. Nesse caso a integridade e o sigilo da comunicação entre o usuário e a página não podem ser garantidos.
O processo de instalação manual da cadeia de certificados atualizada pode ser feito pelo próprio usuário, mas é procedimento relativamente complexo e dificilmente será executado pela maioria dos 116 milhões de brasileiros (64,7% da população) com acesso à internet, de acordo com o IBGE.
Por essa razão os esforços da ITI no sentido de buscar reconhecimento internacional para seus certificados é uma medida acertada. Se bem sucedida pode proporcionar aumento de segurança para os usuários brasileiros de internet.
Adesão ao HTTPS nos Sistemas Autônomos (AS) brasileiros
Ao focar no Brasil, uma das perspectivas para a segunda parte do nosso estudo sobre o HTTPS Global vai considerar a adoção do HTTPS entre os principais AS brasileiros. Selecionados a partir da quantidade de hosts que respondem à requisição HTTP e/ou HTTPS, os AS com maior número de hosts podem ser considerados uma amostragem representativa da realidade nacional.
Vamos adotar a relação entre hosts que respondem a uma requisição HTTPS sobre aqueles que respondem indistintamente entre HTTP e HTTPS como um indicador para nossa análise. A tabela a seguir apresenta (em ordem decrescente) a adoção do protocolo para AS.
Se aprofundarmos a análise considerando AS vinculados a órgãos ou entidades públicas a adoção do HTTPS é maior, o que revela maior maturidade desse sub-grupo se comparado aos maiores AS brasileiros.
Trata-se de resultado esperado e desejável, pois existe uma presunção de confiança entre os usuários de que serviços públicos são legítimos e estão em conformidade com as melhores práticas de segurança vigentes.
Observando os dados referentes a órgãos/empresas públicos responsáveis por prover serviços de tecnologia da informação – companhias de processamento de dados federais e estaduais – o resultado médio é ainda melhor que os demais sub-grupos. Trata-se de evidência de maior maturidade e profissionalismo dessas entidades.
Destaques para as companhias do estado de Minas Gerais (PRODEMGE) e Rio Grande do Sul (PROCERGS) que apresentaram resultados próximos de adoçao plena do HTTPS, ambos 99,7%.
Por fim, algumas universidades públicas possuem AS próprio, reflexo do histórico de expansão da internet nos anos 1990. Entre as universidades públicas a adoção do HTTPS é menos frequente quando comparado aos demais sub-grupos de entidades públicas. Resultado que não surpreende uma vez que a gestão no ambinte universitário tende a ser bastante descentralizada, sendo custosa a implantação de medidas concretas de adoção do HTTPS.
Mesmo diante disso há que se fazer menção à Universidade Federal de Santa Catarina (UFSC), que apresentou 93,6% de adoção do HTTPS em seus hosts, resultado excepcional quando comparado às demais universidades públicas.
Clique aqui para explorar os dados em tela cheia e com filtros habilitados.
Ausência de HTTPS em páginas populares do Brasil
Considerando como páginas mais populares aquelas vinculadas a domínios de topo de nível ‘.br’ incluídos na avaliação da Alexa (Top 1 milhão), observamos que 235 páginas brasileiras não respondem ao protoloco seguro. Isto significa que mesmo quando o usuário tenta o acesso da página por HTTPS ele não encontra resposta do provedor do conteúdo.
É uma situação muito ruim para o usuário que deseja proteger o tráfego por uma camada de criptografia, mas não a encontra habilitada.
Foram observados muitos casos de universidades públicas e privadas que estão na lista de páginas com alto volume de acessos pela lista do Alexa.
Outros casos identificados sem a adoção do HTTPS são surpreendentes. Dentre eles podem ser citadas as páginas do cnpq.br, paraiba.pb.gov.br e idgnow.com.br, que tratam de conteúdo presumidamente relevante ou tratam do tema segurança da informação (no caso deste último) sem utilizar uma proteçao elementar para seus usuários.
A seguir a lista completa das 235 páginas é apresentada numa tabela.
Casos concretos
Além do panorama nacional apresentado por meio dos resultados dos principais AS brasileiros e por páginas populares, identificamos alguns exemplos concretos nos quais a não adoção do HTTPS é particularmente preocupante. São serviços providos por entidades públicas nos quais os usuários informam dados concretos como CPF, CNPJ, número de inscrição estadual da empresa, Renavam e placa de veículos, e, surpreendentemente não são providos com qualquer camada de criptografia.
ministério do esporte
Um exemplo do Governo Federal é a área restrita existente no Ministério do Esporte, presumidamente destinada para acesso por servidores com acesso qualificado a algum sistema, ela não responde ao protocolo HTTPS, o que deixa o trânsito dos dados, incluindo as credenciais de acesso, sujeitos à interceptação e ataques man in the middle.
Secretarias de fazenda estaduais
Em cinco casos secretarias estaduais de fazenda emitem certidões negativas de débito por meio de serviços HTTP. São os casos dos estados do Acre, Espírito Santo, Goiás, Paraná, Piauí, Sergipe e Tocantins. Os serviços exigem a informação do CNPJ/CPF e inscrição estadual da empresa para emissão da certidão.
- http://sefaznet.ac.gov.br/sefazonline/servlet/wemcnd
- http://apps.sefaz.to.gov.br/cnd/servlet/hecwbcnd01
- http://aplicacao.sefaz.go.gov.br/pagina/ver/9429
- http://www.cdw.fazenda.pr.gov.br/cdw/emissao/certidaoAutomatica
- http://internet.sefaz.es.gov.br/agenciavirtual/area_publica/cnd/emissao.php
- http://www.sefaz.se.gov.br/conteudo/63
veículos e ipva
Dois casos que envolvem veículos, a emissão de guia de pagamentos de IPVA e o comunicado de venda, respectivamente, são serviços providos pelos estados do Piauí e Tocantins sem a adoção do HTTPS. Em ambos os casos dados como RENAVAM e a placa do veículos são requeridos, no segundo o CNPJ/CPF do vendedor também é exigido para emissão do documento.
- http://www.sefaz2.to.gov.br/ipva/dare.php
- http://site.detran.pi.gov.br/aplicativos/app/comunicacaovenda/
Secretarias de segurança pública
O caso mais estarrecedor é da secretaria de segurança do estado do Piauí, no qual há a emissão de antecedentes criminais em aplicação sem domínio associado e sem a adoção do HTTPS.
Alternativas para o HTTPS – Let’s encrypt
A migração de um serviço em HTTP para HTTPS envolve algum nível de esforço por parte do administrador de rede: aquisição do certificado digital, instalação e renovação do mesmo (certificados tem prazo de validade).
Outro fator que pode desestimular a migração para o HTTPS é o custo associado a aquisição do certificado, valor por vezes proibitivo para pequenas estruturas privadas ou públicas que não possuem orçamento dedicado para tecnologia da informação.
Como consequência, mecanismos gratuitos para certificação tem ganhado espaço no mercado. Dentre eles destaca-se o Let’s encrypt, um serviço provido pelo Internet Security Research Group (ISRG), com alto nível de automação e simplificação do processo de instalação do certificado em páginas.
A adoção de cerficados emitidos pelo tem se tornado cada vez mais popular, alcançando no caso do Let’s Encryt mais de dois milhões de hosts com o certificado emitido. A seguir uma tabela indica a adoção por países dos certificados:
É interessante observar a maturidade da solução proposta pelo Let’s Encrypt ante a proporção de hosts que respondem HTTPS por país que possuem algum dos seus certificados. Nos casos de Holanda, França, Rússia, Ucrânia, República Checa, Romênia, Bulgária, Estônia e Belarus a adoção supera 10% do total.
Embora o Brasil proporcionalmente não demonstre grande adoção ao Let’s Encrypt, podemos citar alguns casos de adoção da solução em serviços onde dados relevantes são trafegados:
- Ministério do Turismo (https://sei.turismo.gov.br/),
- Ministério da Defesa (https://siscaped.defesa.gov.br),
- Secretaria Adjunta de Inteligência do Estado do Amazonas (https://webmail.seai.am.gov.br)
- DETRAN do Tocantins (https://detran.to.gov.br).
Entre as páginas brasileiras situadas no Top 1 milhão do Alexa é possível observar que 3.963 delas – vide tabela abaixo – adotaram o HTTPS por meio de certificados emitidos pelo Let’s Encrypt. Dentre elas é possível observar a página do Senado Federal (senado.leg.br), o Município de Fortaleza/CE (fortaleza.ce.gov.br) e a Polícia Rodoviária Federal (prf.gov.br).
Considerando os sites que possuem grande volume de tráfego pelo Alexa, observamos que no Top 1 milhão de sites existem 253.117 páginas que utilizam os certificados do Let’s Encrypt. Se esse montante parece expressivo, vale destacar que há 165.556 sites que não aderiram ao HTTPS, o que demonstra que soluções dessa natureza ainda tem um grande mercado para conquistar.
Metodologia utilizada
A primeira etapa do nosso mapeamento global do HTTPS se concentrou em identificar os hosts que apresentaram resposta nos protocolos HTTP e HTTPS (portas 80 e 443), considerando o espaço amostral do IPV4.
Já o mapeamento de certificados emitidos pela Let’s Encrypt consistiu em verificar se o certificado continha a chave Certification Authority Key ID com o identificar “A8 4A 6A 63 04 7D DD BA E6 D1 39 B7 A6 45 65 EF F3 A8 EC A1“, que corresponde ao ID dessa Autoridade Certificadora. Também foi considerado o espaço amostral do IPv4 e do Top 1 Million websites da Alexa.
Conclusão
Os resultados observados nos maiores AS brasileiros (56,0%) são consistentes com o observado no primeiro post sobre adoção do HTTPS em nível nacional (48,0%).
Se considerados apenas os AS brasileiros vinculados ao governo temos resultado ligeiramente inferior (52,9%) aos maiores AS nacionais, enquanto a realidade observada no caso das empresas públicas dedicadas a tecnologia de informação é, em média, substancialmente melhor (67,1%).
Especiais menções para as companhias do estado de Minas Gerais (PRODEMGE) e Rio Grande do Sul (PROCERGS) que apresentaram resultados próximos de adoçao plena do HTTPS, ambos 99,7%, e para a Universidade Federal de Santa Catarina (UFSC), que apresentou 93,6% de adoção do HTTPS em seus hosts, resultado excepcional quando comparado às demais universidades públicas.
Apontamos casos onde a ausência do HTTPS é surpreendente. Dentre eles as páginas do cnpq.br, paraiba.pb.gov.br e idgnow.com.br, do Ministério do Esporte e serviços diversos providos por secretarias de governo dos estados do Acre, Espírito Santo, Goiás, Paraná, Piauí, Sergipe e Tocantins.
Por fim, os esforços da ITI no sentido de buscar reconhecimento internacional para os certificados da ICP-Brasil constituem-se em medida que proporcionará aumento de segurança para os usuários brasileiros de internet. Enquanto isso não ocorre existem alternativas gratuitas e simples como o Let’s encrypt, com alto nível de automação e simplificação do processo de instalação do certificado, que podem ser uma solução para adoção de HTTPS em páginas brasileiras.