2018/10/11

Chrome 70 vai bloquear sites HTTPS com certificados Symantec antigos


O Chrome vai receber nova actualização para a semana, e esta versão 70 poderá dar dores de cabeça a alguns utilizadores, devido ao bloqueio de sites que utilizem HTTPS com certificados de segurança antigos.

O Chrome 70 vai concretizar as ameaças que já tinham sido feitas (com bastante tempo de antecedência) relativamente ao facto da Symantec facilitar no processo de atribuição de certificados HTTPS, permitindo que sites e serviços "duvidosos" se fizessem passar por "seguros" - algo que na altura fez com que muitos sites fossem obrigados a obter novos certificados, para se demarcarem das versões anteriores.


Com a chegada do Chrome 70, o browser da Google irá deixar de considerar válidos todos os certificados da Symantec emitidos antes de Junho de 2016, o que inclui os certificados que anteriormente eram assinados pela Thawte, VeriSign, Equifax, GeoTrust e RapidSSL.

Segundo uma pesquisa feita por um investigador de segurança, existem ainda mais de 1100 sites no top 1 milhão dos sites mais visitados, que ainda utilizam estes certificados que serão invalidados, e que deixarão de ficar acessíveis no Chrome (via HTTPS) - entre os quais se encontram sites como o Banco Federal da Índia, Citrus, SSRN, etc. sendo que outros como o site da Ferrari e do Solidworks também estavam na lista mas recentemente trataram de obter novos certificados.

... Se os outros não o fizerem, é melhor prepararem-se para uma chuva de reclamações na próxima semana.

3 comentários:

  1. Segundo consta, o pessoal que usa o Let's Encrypt está a salvo. ;)

    ResponderEliminar
  2. Estou com a versão Chrome Beta e estive uma data de dias sem conseguir aceder ao site do Novo Banco por causa disto.
    Foi hoje corrigida a situação (por parte do Novo Banco, deduzo).

    ResponderEliminar
    Respostas
    1. obrigado pela info. ontem aconteceu a mesma coisa. só conseguia ir pela app. pensei que fosse algum problema no meu browser. XD

      Eliminar