Segurança em conexões Web
Ao navegar na Internet, é muito provável que a grande maioria dos
acessos que você realiza não envolva o tráfego de informações sigilosas,
como quando você acessa sites de pesquisa ou de notícias. Esses
acessos são geralmente realizados pelo protocolo HTTP, onde as
informações trafegam em texto claro, ou seja, sem o uso de criptografia.
O protocolo HTTP, além de não oferecer criptografia, também não garante
que os dados não possam ser interceptados, coletados, modificados ou
retransmitidos e nem que você esteja se comunicando exatamente com o
site desejado. Por estas características, ele não é indicado para
transmissões que envolvem informações sigilosas, como senhas, números de
cartão de crédito e dados bancários, e deve ser substituído pelo HTTPS,
que oferece conexões seguras.
O protocolo HTTPS utiliza certificados digitais para assegurar a
identidade, tanto do site de destino como a sua própria, caso
você possua um. Também utiliza métodos criptográficos e outros
protocolos, como o SSL (Secure Sockets
Layer) e o TLS (Transport Layer
Security), para assegurar a confidencialidade e a integridade
das informações.
Sempre que um acesso envolver a transmissão de informações sigilosas, é
importante certificar-se do uso de conexões seguras. Para isso, você
deve saber como identificar o tipo de conexão sendo realizada pelo seu
navegador Web e ficar atento aos alertas apresentados durante a
navegação, para que possa, se necessário, tomar decisões apropriadas.
Tipos de conexão
Para facilitar a identificação do tipo de conexão em uso você pode
buscar auxílio dos mecanismos gráficos disponíveis nos navegadores
Web1 mais usados atualmente. Estes mecanismos, apesar
de poderem variar de acordo com o fabricante de cada navegador, do
sistema operacional e da versão em uso, servem como um forte indício do
tipo de conexão sendo usada e podem orientá-lo a tomar decisões
corretas.
De maneira geral, você vai se deparar com os seguintes tipos de conexões:
- Conexão padrão: é a usada na maioria dos acessos realizados. Não provê requisitos de segurança. Alguns indicadores deste tipo de conexão, ilustrados na figura 1, são:
- o endereço do site começa com "
http://
"; - em alguns navegadores, o tipo de protocolo usado (HTTP), por ser o padrão das conexões, pode ser omitido na barra de endereços;
- um símbolo do site (logotipo) é apresentado próximo à barra de endereço e, ao passar o mouse sobre ele, não é possível obter detalhes sobre a identidade do site.
Figura 10.1: Conexão não segura em diversos navegadores. - o endereço do site começa com "
- Conexão segura: é a que deve ser utilizada quando dados sensíveis são transmitidos, geralmente usada para acesso a sites de Internet Banking e de comércio eletrônico. Provê autenticação, integridade e confidencialidade, como requisitos de segurança. Alguns indicadores deste tipo de conexão, ilustrados na figura 2, são:
- o endereço do site começa com "
https://
"; - o desenho de um "cadeado fechado" é mostrado na barra de endereço e, ao clicar sobre ele, detalhes sobre a conexão e sobre o certificado digital em uso são exibidos;
- um recorte colorido (branco ou azul) com o nome do domínio do site é mostrado ao lado da barra de endereço (à esquerda ou à direita) e, ao passar o mouse ou clicar sobre ele, são exibidos detalhes sobre conexão e certificado digital em uso.
Figura 2: Conexão segura em diversos navegadores. - o endereço do site começa com "
- Conexão segura com EV SSL: provê os mesmos requisitos de segurança que a conexão segura anterior, porém com maior grau de confiabilidade quanto à identidade do site e de seu dono, pois utiliza certificados EV SSL. Além de apresentar indicadores similares aos apresentados na conexão segura sem o uso de EV SSL, também introduz um indicador próprio, ilustrado na figura 3, que é:
- a barra de endereço e/ou o recorte são apresentados na cor verde e no recorte é colocado o nome da instituição dona do site 3.
Figura 3: Conexão segura usando EV SSL em diversos navegadores.Outro nível de proteção de conexão usada na Internet envolve o uso de certificados autoassinados e/ou cuja cadeia de certificação não foi reconhecida. Este tipo de conexão não pode ser caracterizado como sendo totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e confidencialidade, não provê autenticação, já que não há garantias relativas ao certificado em uso.
Quando você acessa um site utilizando o protocolo HTTPS, mas seu
navegador não reconhece a cadeia de certificação, ele emite avisos como
os descritos na Seção 2 e ilustrados na figura 6. Caso você, apesar dos riscos, opte
por aceitar o certificado, a simbologia mostrada pelo seu navegador será
a ilustrada na figura 4. Alguns indicadores
deste tipo de conexão são:
- um cadeado com um "X" vermelho é apresentado na barra de endereço;
- a identificação do protocolo "https" é apresentado em vermelho e riscado;
- a barra de endereço muda de cor, ficando totalmente vermelha;
- um indicativo de erro do certificado é apresentado na barra de endereço;
- um recorte colorido com o nome do domínio do site ou da instituição (dona do certificado) é mostrado ao lado da barra de endereço e, ao passar o mouse sobre ele, é informado que uma exceção foi adicionada.
![Conexão HTTPS com cadeia de certificação não reconhecida [Conexão HTTPS com cadeia de certificação não reconhecida]](http://cartilha.cert.br/images/certificados/nav-https-aa.jpg)
Figura 10.4: Conexão HTTPS com cadeia de certificação não reconhecida.
Certos sites fazem uso combinado, na mesma página Web, de
conexão segura e não segura. Neste caso, pode ser que o cadeado
desapareça, que seja exibido um ícone modificado (por exemplo, um
cadeado com triângulo amarelo), que o recorte contendo informações sobre
o site deixe de ser exibido ou ainda haja mudança de cor na barra
de endereço, como ilustrado na Figura 5.
![Uso combinado de conexão segura e não segura [Uso combinado de conexão segura e não segura]](http://cartilha.cert.br/images/certificados/nav-conexao-mista.jpg)
Figura 5: Uso combinado de conexão segura e não segura.
Mais detalhes sobre como reconhecer o tipo de conexão em uso podem ser
obtidos em:
- Chrome - Como funcionam os indicadores de segurança do
website (em português)
http://support.google.com/chrome/bin/answer.py?hl=pt-BR&answer=95617 - Mozilla Firefox - How do I tell if my connection to a website
is secure? (em inglês)
http://support.mozilla.org/en-US/kb/Site Identity Button - Internet Explorer - Dicas para fazer transações online
seguras (em português)
http://windows.microsoft.com/pt-BR/windows7/Tips-for-making-secure-online-transaction-in-Internet-Explorer-9 - Safari - Using encryption and secure connections (em
inglês)
http://support.apple.com/kb/HT2573
Como verificar se um certificado digital é confiável
Para saber se um certificado é confiável, é necessário observar alguns
requisitos, dentre eles:
- se o certificado foi emitido por uma AC confiável (pertence a uma cadeia de confiança reconhecida);
- se o certificado está dentro do prazo de validade;
- se o certificado não foi revogado pela AC emissora;
- se o dono do certificado confere com a entidade com a qual está se comunicando (por exemplo: o nome do site).
Quando você tenta acessar um site utilizando conexão segura,
normalmente seu navegador já realiza todas estas verificações. Caso
alguma delas falhe, o navegador emite alertas semelhantes aos mostrados
na figura 6.
![Alerta de certificado não confiável em diversos navegadores [Alerta de certificado não confiável em diversos navegadores]](http://cartilha.cert.br/images/certificados/combinado-aa.jpg)
Figura 10.6: Alerta de certificado não confiável em diversos navegadores.
Em geral, alertas são emitidos em situações como:
- o certificado está fora do prazo de validade;
- o navegador não identificou a cadeia de certificação (dentre as possibilidades, o certificado pode pertencer a uma cadeia não reconhecida, ser autoassinado ou o navegador pode estar desatualizado e não conter certificados mais recentes de ACs);
- o endereço do site não confere com o descrito no certificado;
- o certificado foi revogado.
Ao receber os alertas do seu navegador você pode optar por:
- Desistir da navegação: dependendo do navegador, ao selecionar esta opção você será redirecionado para uma página padrão ou a janela do navegador será fechada.
- Solicitar detalhes sobre o problema: ao selecionar esta opção, detalhes técnicos serão mostrados e você pode usá-los para compreender o motivo do alerta e decidir qual opção selecionar.
- Aceitar os riscos: caso você, mesmo ciente dos riscos, selecione esta opção, a página desejada será apresentada e, dependendo do navegador, você ainda terá a opção de visualizar o certificado antes de efetivamente aceitá-lo e de adicionar uma exceção (permanente ou temporária).
Caso você opte por aceitar os riscos e adicionar uma exceção, é
importante que, antes de enviar qualquer dado confidencial, verifique o
conteúdo do certificado e observe:
- se o nome da instituição apresentado no certificado é realmente da instituição que você deseja acessar. Caso não seja, este é um forte indício de certificado falso;
- se as identificações de dono do certificado e da AC emissora são iguais. Caso sejam, este é um forte indício de que se trata de um certificado autoassinado. Observe que instituições financeiras e de comércio eletrônico sérias dificilmente usam certificados deste tipo;
- se o certificado encontra-se dentro do prazo de validade. Caso não esteja, provavelmente o certificado está expirado ou a data do seu computador não está corretamente configurada.
De qualquer modo, caso você receba um certificado desconhecido ao
acessar um site e tenha alguma dúvida ou desconfiança, não envie
qualquer informação para o site antes de entrar em contato com a
instituição que o mantém para esclarecer o ocorrido.
- Leia também [ Uso seguro da internet - Parte 1 ]
Por favor leia antes de comentar:
1. Escreva apenas o que for referente ao tema;
2. Ofensas pessoais ou spam não serão aceitos;
3. Para entrar em contato acesse formulário de contato.
EmoticonEmoticon