Não, ver o “cadeado fechado” no navegador não significa que é seguro

Jefferson, 28 de março de 2017,

[one_half padding=”0 20px 0 20px”]O contrário está mais próximo de estar correto. O cadeado aberto indica uma condição insegura. Ainda assim, nem sempre.

Essas “simplificações” me fazem estremecer, mas quando até os bancos apelam para elas e a população em geral é treinada para acreditar nisso, há pouco que você possa fazer a não ser repetir a mesma coisa. Mas diante de uma pessoa capaz de entender eu posso explicar por que aquele ícone em forma de cadeado fechado no browser quando você acessa o site de um banco é apenas um dos muitos itens de segurança ao qual você precisa ficar atento.

Ter uma conversa criptografada com um bandido é o que você chama de “seguro”? Espero que não, porque é apenas isso que o cadeado fechado garante: que a conexão é criptografada e supostamente (existem exceções) ninguém além de você e quem está na outra ponta pode decifrá-la. O problema é que para habilitar criptografia basta ter um certificado SSL. E qualquer um pode ter um. Certificados SSL basicamente garantem criptografia, não autenticação.[/one_half]

[one_half padding=”0 20px 0 20px”]Ainda não entendeu o problema? Agora você vai: uma análise mostrou que no ano passado a Let’s Encrypt, uma organização sem fins lucrativos que distribui certificados SSL de graça, emitiu mais de 15 mil certificados SSL para sites que tinham o nome “paypal” em algum lugar mas não tinham nada a ver com a empresa. E mais de 14 mil deles foram usados em sites criminosos.

O fato é que a Let’s Encrypt não tem como verificar de graça cada pedido de certificado. E nem tenta. A organização já disse que não é essa sua missão. Confirmar identidade do representante de uma empresa não é algo que possa ser feito automaticamente (o único jeito de fazer de graça) e certificados SSL não tem o objetivo primário de confirmar identidade de ninguém, embora possam ajudar nisso. Certificados mais caros (qualquer um que não seja grátis é, certo?) podem contar com a identificação da empresa e se esta existir os navegadores modernos mostram o nome desta, além de mostrar o cadeado.

Mas não é isso que o usuário médio foi “adestrado” a verificar.[/one_half]

 

28 de março de 2017 | Categorias: Sem categoria

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »