35% dos sites do mundo ainda estão usando certificados SHA-1 inseguros, de acordo com a empresa de cibersegurança Venafi. Isso está acontecendo apesar do fato de os principais provedores de navegadores, como Microsoft, Mozilla e Google, terem declarado publicamente que não vão mais confiar em sites que usam SHA-1 a partir de 2017. Em fevereiro de 2017, Chrome, Firefox e Edge marcarão como inseguros sites que ainda dependem de certificados que usam algoritmos SHA-1.

Como resultado, as transações web e o tráfego podem ser interrompidos de várias formas:

• Os navegadores exibirão avisos aos usuários de que o site é inseguro, levando-os a procurar um site alternativo.
• Os navegadores não exibirão o “cadeado verde” na linha de endereço para transações HTTPS; os consumidores confiam nesse ícone como uma indicação de que as transações online são seguras e privadas.
• Os sites podem apresentar problemas de desempenho; em alguns casos, o acesso a eles pode ser completamente bloqueado.

Além do sério impacto na experiência do usuário, os sites que continuam usando certificados SHA-1 devem esperar um aumento significativo nas chamadas de help desk e uma redução nas receitas de transações online. Eles também podem sofrer danos de reputação em longo prazo.

[awprm urls=https://imasters.com.br/noticia/google-atualiza-politica-de-seguranca-contra-sites-maliciosos/?trace=824205206&source=news-search,https://imasters.com.br/noticia/cresce-o-numero-de-empresas-com-pelo-menos-uma-vulnerabilidade-de-seguranca/?trace=824205206&source=news-search]

Walter Goulet, gerente de produtos de soluções em nuvem da Venafi, comentou: “Os resultados de nossa análise mostram claramente que, embora os sites mais populares tenham feito um bom trabalho migrando de certificados SHA-1, uma parcela significativa da Internet continua dependendo deles. De acordo com a pesquisa de setembro de 2016 da Netcraft, Web Server Survey, existem mais de 173 milhões de sites ativos na Internet. Extrapolando nossos resultados, 61 milhões de sites ainda podem estar usando certificados SHA-1”.

De acordo com o site Help Net Security, os certificados digitais são usados para derivar o material necessário para criptografar o tráfego entre usuários e sites. A criptografia é necessária para comunicações e transações privadas e seguras. Os certificados digitais também verificam se o site ao qual o usuário está se conectando é legítimo. Todos os navegadores web usam certificados para determinar o que pode e não pode ser confiável durante transações online. Isso é particularmente importante em transações que incluem dados confidenciais, como e-commerce e serviços bancários online.

No entanto, o algoritmo de criptografia SHA-1 usado por muitos certificados de site é fraco e pode ser facilmente manipulado. Por exemplo, os certificados SHA-1 são vulneráveis a ataques de colisão que permitem que cibercriminosos forjem certificados e executem ataques man-in-the-middle em conexões TLS. O algoritmo SHA-2 resolve esses problemas, mas as pesquisas da Venafi Labs mostram que muitas empresas ainda não fizeram essa atualização, deixando-as abertas a falhas de segurança, problemas de conformidade e interrupções que podem afetar segurança, disponibilidade e confiabilidade.

“Todo o nosso mundo online é baseado no sistema de confiança que é sustentado por esses certificados digitais usados para autenticação e autorização; as organizações têm a obrigação de assegurar que apenas certificados seguros sejam usados”, afirmou Kevin Bocek, estrategista-chefe de segurança da Venafi.

Bocek também salientou que uma “empresa média tem mais de 23 mil chaves e certificados, mas a maioria delas não tem as ferramentas ou a visibilidade para encontrar todos os seus certificados SHA-1 em seu ambiente de TI. Isso significa que a migração para o SHA-2 pode ser complexa e caótica e, como resultado, muitas empresas não concluíram essa migração. Infelizmente, em janeiro, não haverá lugar algum para essas empresas se esconderem. Meu conselho é ter um plano agora, porque será ainda mais difícil de corrigir isso após o prazo de depreciação iminente, quando as coisas começarem a quebrar”.