Uma mudança na forma como a conexão segura através de protocolo https é feita pelos servidores de Internet pode banir da Web até 40 milhões de usuários em todo o mundo a partir de 2016. O problema ocorre por que a tecnologia usada para criar a conexão criptografada – chamada SHA-1 – será substituída por uma nova e mais segura, mas que não é suportada por versões mais antigas de navegadores, principalmente para dispositivos móveis, o que os tornaria inúteis para navegação.

O que é https?

O problema com o padrão SHA-1 é que os computadores ficam cada vez mais rápidos e, por isso, são capazes de calcular e quebrar suas chaves criptográficas em um espaço de tempo menor. Isto faz com que seja necessário sua substituição por uma versão mais moderna.

Navegadores antigos serão incapazes de acessar sites criptografados em 2016 (Foto: Reprodução/CloudFlare)

A transição para um padrão novo não é novidade no mundo dos navegadores. Em 2008, o padrão mais comum para a criptografia era o MD5, que passou pelo mesmo problema do SHA-1. A diferença é que, naquela época, esta tecnologia era suportada em conjunto com a outra, o que facilitou a transição.

O padrão MD5 continuou existindo em conjunto com o SHA-1, até ser completamente abandonado em 2013. Já o SHA-2 é uma tecnologia mais recente, que começou a ser implementada depois, o que significa que navegadores antigos não podem usá-la. Isto é um problema menor para desktops, nos quais o usuário pode atualizar seu software com facilidade.

Como acessar WhatsApp Web com BlueStacks? Veja dicas no Fórum do TechTudo.

O grande empecilho, por outro lado, ocorre em smartphones antigos, cujos navegadores não podem mais ser atualizados por não serem compatíveis com versões ultrapassadas de seus sistemas operacionais. Qualquer telefone que rode Android 2.23 ou anterior, por exemplo, estará impedido de fazer conexões seguras.

1º de janeiro de 2016

Grandes sites de todo o mundo, como o Google, Facebook e Twitter, devem passar a rejeitar conexões seguras em SHA-1 a partir do dia 1º de janeiro de 2016, ao mesmo tempo em que os navegadores modernos passarão a considerar inseguros os sites que forneçam certificados de segurança apenas com esta tecnologia.

A expectativa é que o maior impacto desta decisão ocorra em países mais pobres, onde o intervalo de tempo entre a troca de telefones é menor, o que significa que há um número maior de aparelhos antigos ainda em funcionamento.

Nós deveríamos investir em soluções de privacidade e segurança, e não dificultar o acesso para as pessoas 
Alex Stamos, Facebook

Dados do serviço de hospedagem CloudFlare, por exemplo, indicam que apenas 1,69% das conexões criptografadas em todo o mundo são feitas em SHA-1, o que representa mais de 37 milhões de pessoas (quase 40 milhões). A maior parte delas, ainda de acordo com a plataforma, está localizada nos países mais “pobres e repressivo

... s ou castigados pela guerra”.

A solução encontrada pelas empresas de Internet, nestes casos, é continuar com o suporte à criptografia antiga, oferecendo ao mesmo tempo as conexões em SHA-1 e SHA-2 e usando a mais avançada permitida.

Download grátis do app TechTudo: receba dicas e notícias de tecnologia no seu Android ou iPhone

No Facebook, por exemplo, cerca de 7% das conexões são feitas por navegadores incompatíveis com o SHA-2. Segundo o chefe de segurança da rede social, Alex Stamos, não seria correto cortar o acesso destes usuários devido a dispositivos antigos. “Nós deveríamos investir em soluções de privacidade e segurança, e não dificultar o acesso para as pessoas”, afirma.

Via Buzzfeed e CloudFlare



>>> Veja o artigo completo no TechTudo