Conforme já falamos aqui no Lab, o Google Chrome marcará todos os sites HTTP como “não seguros” a partir de julho de 2018. O objetivo dessa transição é tornar a web mais segura. Isso porque sem a camada de criptografia HTTPS, alguém com acesso ao seu roteador ou qualquer agente entre você e o site que você está acessando pode interceptar as informações trocadas (inclusive credenciais de acesso) ou injetar códigos malicioso em ataques conhecidos como man-in-the-middle.
Segundo declaração do Google em fevereiro de 2018, 81 dos 100 principais sites da Web usam HTTPS como padrão e 68% do tráfego do Chrome usa HTTPS. Logo, o HTTP não seguro está se tornando a exceção, deixando de ser o protocolo padrão da web, o que justifica a transição para o HTTPS. Embora o HTTPS historicamente tenha exigido certificados caros e algum trabalho burocrático, projetos como o Let’s Encrypt tornaram fácil e desburocratizado adicionar HTTPS a praticamente qualquer site a custo zero.
A imagem a seguir apresenta o tratamento que o navegador do Google dará aos sites sem camada de criptografia HTTPS.
Em uma tentativa de manter os dados de navegação dos usuários protegidos de qualquer pessoa que possa espionar o tráfego Web, o Google Chrome sinalizará os sites que não implementam camada de criptografia HTTPS como “não seguros“. A partir de julho, com o lançamento do Chrome 68, o navegador irá avisar sobre a vulnerabilidade aos usuários por meio de uma notificação extra na barra de endereço. Atualmente, o Chrome marca sites criptografados com HTTPS com um ícone de cadeado verde e a expressão “Seguro”. Então, a partir do Chrome 68, sites que rodam em http sem criptografia serão marcados como inseguros, conforme imagem abaixo:
Esse comportamento do Browser tende a ser relevante na decisão do usuário em não continuar navegando no site, especialmente se for uma pessoa sem conhecimento técnico.
Além disso, o Google Chrome também vem empregando várias outras táticas, incluindo a melhor classificação de sites com suporte a HTTPS em seus resultados de pesquisa, como um incentivo para levar os desenvolvedores a adotar a tecnologia por padrão.
Implementação do HTTPS no Brasil:
Infelizmente, apesar da proximidade desse evento, o Brasil não tem apresentado esforços para realizar essa transição. O artigo Mapeamento global do HTTPS (Parte 1) apresenta os dados que embasam essa afirmação.
O artigo demonstra que embora seja o 7º maior país em quantidade de hosts, o Brasil ocupa apenas a 64ª posição em termos de adoção do HTTPS (48,0%). Na relação entre HTTPS (48,0%) e HTTP (73,7%) o Brasil aparece em 60º lugar.
Numa comparação com seus pares globais (similar quantidade de hosts – mais de 1 milhão e menos de 3,5 milhões) Brasil está abaixo da média.
| País | HTTPS | HTTP | Hosts |
| Polônia | 79.0% | 57.2% | 1.062.133 |
| Alemanha | 78.3% | 55.8% | 3.477.911 |
| Holanda | 72.0% | 76.2% | 1.026.455 |
| Reino Unido | 68.9% | 73.0% | 1.833.893 |
| Canadá | 65.5% | 71.8% | 1.212.231 |
| Japão | 64.2% | 75.5% | 2.123.938 |
| Itália | 63.5% | 58.5% | 1.432.376 |
| França | 62.3% | 79.8% | 1.495.239 |
| Taiwan | 54.8% | 67.7% | 1.485.783 |
| Brasil | 48.0% | 73.7% | 1.806.231 |
| Índia | 45.9% | 74.3% | 1.170.334 |
| Coreia do Sul | 43.7% | 76.4% | 1.515.900 |
| Rússia | 39.9% | 85.9% | 1.547.637 |
| Média | 60.5% | 71.2% | 1.630.005 |
Adoção do HTTPS: comparação entre o Brasil e países similares
Além da baixa adesão, a proporção entre o HTTPS e HTTP sugere que a migração para o uso exclusivo do protocolo seguro é um projeto de improvável sucesso no curto prazo.
Ainda que o Let’s Encrypt torne fácil e desburocratizado adicionar HTTPS a praticamente qualquer site a custo zero, o Mapeamento Global do HTTPS (Parte 2) demonstrou que a adoção dessa tecnologia no Brasil ainda é muito baixa. Em termos absolutos, o Brasil ocupa a 21ª posição, e em termos relativos, o países ocupa a 66ª posição global.
Utilização do Let’s Encrypt como forma de implementar o HTTPS.
Governança cibernética em nível nacional
Um das justificativas para o quadro de baixa adesão ao HTTPS no Brasil pode ser extraída pela comparação com os países bem sucedidos nesse processo. Ao contrário da realidade nacional, neles há a presença de uma entidade responsável pela governança cibernética em nível nacional. É o caso de Polônia, Alemanha, Holanda, Reino Unido, Canadá, França, Japão e Taiwan – que correspondem a 8 dos 9 países com resultados melhores que o Brasil.
Quanto às atribuições das entidades públicas responsáveis pela governança cibernética nacionais, observou-se que a maioria possui mandato normativo explícito para as seguintes ações em redes e ativos de informação nacionais:
-
Diagnóstico/identificação de vulnerabilidades;
-
Avaliação de riscos cibernéticos;
-
Notificação de incidentes;
-
Estabelecimento de recomendações de boas práticas de segurança;
-
Verificação da aderência às boas práticas de segurança estabelecidas.
Conforme já demonstrado no artigo Brasil: abençoado por Deus e reflexivo por natureza que tratou do persistente problema dos servidores DNS reflexivos no Brasil, a atual conformação da governança cibernética brasileira não se mostra suficiente para sanear problemas de envergadura nacional, o que torna urgente a ponderação sobre uma reorganização institucional.
A falta de coordenação, articulação e cooperação no setor cibernético é tão grande, que coube ao Ministério Público do DF e Territórios (MPDFT) o alerta aos proprietários de roteadores domésticos para que reiniciassem seus aparelhos para interromper temporariamente a propagação do malware VPNFilter, o que ajudaria na identificação de equipamentos que estivessem infectados. Na falta de uma instituição nacional responsável pela segurança cibernética do Brasil, coube ao Ministério Público do DF apresentar algum nível de resposta a uma ameaça em escala nacional.
O saneamento de um cenário tão agudo quanto o apresentado no caso do HTTPS requer da entidade escolhida para tal missão a capacidade de atuar em uma escala sem precedentes, em parceria com diversos setores públicos e privados, auxiliando a coordenação e integração entre as múltiplas entidades envolvidas.
Demanda a capacidade técnica de atuar sobre redes que não estão sobre a sua tutela – sob o controle de diferentes entidades públicas e privadas – de modo proativo e numa escala nacional, o que certamente demandará grande quantidade de pessoal dotado de conhecimento técnico em seus quadros.