Em uma medida para tornar a internet muito mais segura, a Mozilla e a Electronic Frontier Foundation (EFF) estão liderando um esforço de distribuição gratuita de certificados HTTPS para todos os sites que puderem e quiserem aplicar essa tecnologia. Isso garante o uso dos protocolos TLS e SSL em serviços online e faz com que a comunicação enviada entre usuário e servidor seja vista apenas pelos dois, já que a transmissão é feita de maneira criptografada e por isso dificulta a interceptação por hackers, operadores e sistemas de espionagem.
Batiza de "Let's Encrypt", a iniciativa também conta com o apoio da Universidade de Michigan, nos EUA, da Cisco e da Akamai, que ajudarão a fomentar o uso da criptografia e segurança dos usuários. Com os certificados, é possível garantir a correta aplicação das políticas de segurança e também que os sites acessados pelo usuário são realmente quem dizem ser, e não hackers posando com sites de phishing.
É justamente aqui que entra a questão que torna a iniciativa com certificados bastante significativa. Como explicou o site Extreme Tech, a entrega desse tipo de “documento digital” é feita por uma autoridade especializada, como a VeriSign, por exemplo, e feita de forma individual. Sempre que uma conexão HTTPS é requisitada por um servidor, os serviços do CA (certificate authority) batem as chaves com as presentes em seus servidores, de forma a garantir que aquela página é legítima. O resultado é um cadeado ao lado da URL nos navegadores mais populares.
Isso previne o uso de sites falsos e redirecionamento de conexões por hackers e criminosos digitais. Assim, o usuário pode fazer suas compras ou acessar dados bancários tranquilamente, sem medo de estar acessando páginas falsas.
Todo esse trabalho, claro, custa dinheiro. Empresas como a VeriSign e a Symantec, por exemplo, podem chegar a cobrar US$ 1 mil por ano pela obtenção de certificados, algo que torna sua utilização um tanto quanto inviável para sites menores, por mais que eles tenham todos os protocolos de segurança implementados e demonstrem uma preocupação bastante grande com isso.
Sabendo disso, o Let's Encrypt bolou um processo diferente de obtenção de certificados que permite que todos eles sejam gratuitos. A ideia é que toda verificação e aplicação do “documento” sejam feitos de forma automatizada, bastando ter um domínio ativo e submetê-lo à aprovação. Todo o restante é feito pelos computadores da iniciativa, que, claro, conta com o financiamento das companhias envolvidas, mas não deseja passar esse custo aos usuários.
A expectativa é que Google, Microsoft, Opera e outros desenvolvedores de browsers aceitem os certificados emitidos pelo Let’s Encrypt como válidos e comecem a exibir as informações sobre eles em seus respectivos softwares. Com a Mozilla, fabricante do Firefox, e a EFF por trás, a expectativa é que não haja problema nessa aceitação, com as empresas até mesmo se unindo ao projeto.
Matéria completa: http://canaltech.com.br
0 comentários:
Os comentários serão moderados antes de publicar! respondo todos, obrigado por comentar.