É hora de encriptar toda a Internet?

A argumentação em prol de se criptografar todo o tráfego de conteúdo na Internet tem ganhado força nos últimos tempos.
Há argumentos contrários a esta prática. Saiba o que se tem falado sobre o assunto.
Para a grande maioria das pessoas o longínquo bug do OpenSSL, o heartbleed bug, simplesmente passou despercebido (em Abril de 2014).
Para outras, o problema, ainda que resolvido neste momento, despertou preocupação.
Em recente artigo, Klint Finley, da Wired, levanta um questionamento: devemos encriptar tudo?
A maioria dos grandes websites usam os protocolos de encriptação SSL ou TLS para proteger suas senhas e as informações do seu cartão de crédito no caminho entre o seu navegador e seus servidores.
Sempre que um site estiver usando HTTPS, em vez de HTTP, você sabe que ele está usando SSL/TLS.
O fato é que poucos sites, tais como o Gmail e o Facebook, realmente usam o HTTPS para proteger todo o tráfego, diferente da maioria que só usa a proteção durante a autenticação ou durante os processo de pagamento.
Matt Cutts, do Google, acha que é hora de estender este tipo de segurança à toda a rede. Desta forma, não somente sua conexão bancária seria segura, mas também o seu acesso a esta página, que você está lendo.
Ele acredita que a busca do Google deveria priorizar sites que usam HTTPS, em relação aos outros. Se esta política fosse implementada, poder-se-ia esperar uma corrida na direção do HTTPS.
Entre os especialistas em segurança, Klint cita o white hat hacker Moxie Marlinspike, que conhece os pontos fracos do SSL/TLS. Ele também acredita que a Internet deveria abandonar o texto puro pelo texto encriptado.
Há uma série de outras situações em que o HTTPS ajuda você a usar a Internet de maneira mais segura. Por exemplo, este protocolo não codifica apenas as informações que trafegam entre o seu computador e o servidor, que você está acessando — ele também verifica se o conteúdo, que você está prestes a acessar, realmente pertence àqueles que você acredita que o produziram. Em tese, a autenticidade dos sites também é verificada.
Sites que fornecem downloads de softwares, devem usar HTTPS, para proteger seus visitantes.

Argumentos contrários ao uso de SSL em toda a web

Tem gente que pensa diferente.
Se o HTTPS é tão maravilhoso, por que todo mundo não está usando, ainda?
Há um outro lado nesta moeda.
Entre as desvantagens, há um aumento nos custos de implementação. Os certificados TLS têm que ser adquiridos das autoridades instituídas e podem custar entre 10 e 1000 dólares anuais, a depender do tipo de certificado e do nível de verificação de identidade provida.
Há também alegações de que o uso do HTTPS aumenta o consumo de recursos dos servidores, o que pode reduzir o desempenho dos sites – o que, novamente, tem impacto nos custos.
Isto pode representar um problema para a maioria da Internet, composta por pequenos sites, que usam os planos “mais em conta” em provedores mais baratos.
Ainda que a Internet inteira não esteja indo na direção da adoção do HTTPS, alguns tipos de sites têm razões para adotar o protocolo, especificamente aqueles que provém informações de interesse público e downloads de softwares.

A criptografia gratuita está chegando

let's encrypt oficial logo
O argumento dos custos elevados da criptografia, pode não ser mais válido diante da iniciativa do grupo Let’s Encrypt (em bom brasileiro, “Bora encriptar!”) que oferece certificados digitais grátis para todo mundo, zerando o custo do processo.
A iniciativa faz parte de uma das várias iniciativas colaborativas da Linux Foundation.
O objetivo do Let’s Encrypt é possibilitar a configuração de um servidor web encriptado e conseguir que ele obtenha automaticamente
certificados confiáveis, sem a intervenção humana.
O mecanismo está disponível para a maioria dos grandes provedores da Internet.
Se você tem um site, um blog com hospedagem e domínios próprios, já é hora de perguntar ao seu administrador se ele já tem o serviço disponível para você.

Publicado por

Elias Praciano

Autor de tecnologia (livre, de preferência), desenvolvedor web e geek, nos mais diversos assuntos. Entusiasta de software livre e hacker de LEGO, acredito em repassar meu conhecimento e ajudar as pessoas sempre que for possível.

2 comentários sobre “É hora de encriptar toda a Internet?”

  1. Elias,
    tenho blog, no google, ou blogspot. E no google+. Já aceitei a configuração para o bloh do https, mas algumas coisas no blog não funcionam nesse sistema, por exemplo o counter de visitas do blog, que é independente do Google. Não fui atrás de algum counter que seja aceito, simplesmente preferi não usar, com receio de que haja outras restrições aos visitantes, e a mim como blogueiro. Agora, se meu blog é público, e desejo que ele seja visitado, apenas “garanto” que ele é seguro aos visitantes, certo? Mas o internauta comum ainda não tem ideia dessa segurança, e isso não mudaria a frequência de visitas, pelo menos num primeiro momento. Aos que conhecem a questão, daria garantias de que é um site/blog livre de vírus, por exemplo?

    1. Não, Richard. Este recurso não garante que seu site está livre de virus. Não é esta a sua função.
      O protocolo HTTPS é um protocolo para garantir a comunicação segura em uma rede de computadores, como a Internet.
      Ele usa o protocolo comum HTTP, só que encriptado.
      O seu maior objetivo é garantir a autenticidade do seu site para seus visitantes.
      Além disto, ele procura dar proteção e privacidade às informações que trafegam entre o site e o visitante — o que é imprescindível, para citar um exemplo, em sites de comércio eletrônico. Neste caso, é evitar que criminosos roubem dados sensíveis do cliente.
      Leia mais no artigo da Wikipedia: https://pt.wikipedia.org/wiki/Hyper_Text_Transfer_Protocol_Secure.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *