Browsers

Utilizadores do Chrome não vão poder aceder alguns sites seguros

17 Comentários

A Google procura implementar nos seus produtos os mais completos e actuais mecanismos de segurança, que garantem aos utilizadores a máxima protecção.

Com a chegada da versão 48 do Chrome, que se espera para Janeiro, vai surgir um novo problema no acesso a sites seguros, com certificados SHA-1. O Chrome vai passar a alertar os utilizadores e bloquear o acesso!

chrome_1

Com a descoberta de falhas de segurança grave na função hash criptográfica SHA-1, surgiu a necessidade de alterar por completo os mecanismos de cifra e segurança na internet.

Como este é um processo que demorará alguns anos, mesmo tendo sido iniciado em 2013, foi estabelecida a data de 1 de Janeiro de 2017 para suporte a estes certificados.

Mas a Google resolveu alterar de forma completa este suporte e anunciou agora que vai deixar de suportar o SHA-1 já a partir de Janeiro de 2016, mediante algumas condições.

Nessa altura o Chrome passará a apresentar alertas de segurança sempre que o certificado for assinado por uma chave SHA-1, tiver sido emitido depois do dia 1 de Janeiro de 2016 e estiver ligado a uma CA pública. Todos os certificados auto-assinados não vão disparar estes alertas de segurança.

Ao tomar esta decisão a Google poderá estar a privar muitos dos utilizadores do Chrome de acederem a sites seguros, encaminhando-os para alertas de problemas de segurança. Como a maioria não entenderá a razão do erro acabará por não aceder ao site.

chrome_2

Há algum tempo que o Chrome está a mostrar aos utilizadores alertas de segurança relacionados com certificados SHA-1, mas apenas na barra de endereço. Esta mudança agora aplicada terá um impacto maior, alertando os utilizadores de forma mais visível.

Para o início de 2017, a Google tem preparado o fim do suporte completo ao SHA-1, ficando nessa altura visível um erro de rede que os utilizadores não vão conseguir contornar.

O problema do SHA-1 vai trazer complicações graves aos browsers mais antigos, que não têm suporte para a versão seguinte, a SHA-2, e que por isso vão ficar impedidos de aceder à maioria dos sites.

Por outro lado a pressão para a actualização dos certificados é grande e isso criará uma falha no suporte para esses mesmos browsers que só têm suporte para a versão 1.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
browser certificado chrome Google Segurança SHA-1

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Passatempo: habilite-se a 2 Apple Watch, 1 Apple TV…
Artigo anterior

Passatempo: habilite-se a 2 Apple Watch, 1 Apple TV…
TOP 4 – Ferramentas para ter vários SO numa PenUSB
Próximo artigo

TOP 4 – Ferramentas para ter vários SO numa PenUSB
PUB

Comentários

17

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de goncalo soares santos
    goncalo soares santos

    Quer dizer que sites de bancos, sites de browsers, anti virus etc não vamos conseguir acessar ás contas .

    Responder
    1. Avatar de ZePipo
      ZePipo

      Claro que vais, qualquer empresa grande que se preze já efectuou alteração das cifras nos seus sites.

      Responder
  2. Avatar de _root
    _root

    Podem utilizar este site https://shachecker.com/ para validarem se o vosso certificado é SHA-1 ou não.

    Responder
    1. Avatar de int3
      int3

      lol precisa de ter www como subdomínio….

      Responder
  3. Avatar de Rudolfo
    Rudolfo

    O Google Chrome é que manda e sabe o que é melhor para ti.

    Responder
  4. Avatar de Joao
    Joao

    É preocupante a lentidão na mudança, pois significa que se acontecer algo de muito grave, imaginemos agora com o SHA-256, sabe-se lá quantos anos demorará a que toda a gente tenha os novos algoritmos que protegem as comunicações de então.
    Também é preocupante que muitos estejam a optar por permitir o acesso com certificados usando SHA1 tentando adivinhar se o browser suporta ou não, o que dará sem dúvida espaço a ataques para reduzir o nível de segurança de quem acede a esses servidores, tais ataques tem acontecido por exemplo para reduzir a segurança de protocolos de por exemplo TLS 1.0 para SSL3.0 ou de TLS 1.2 para TLS 1.0… é a conveniência versus segurança… quase sempre vence a conveniência a menos que as leis obriguem à segurança sem possibilidade de ser contornada.

    Responder
  5. Avatar de daiquiri2
    daiquiri2

    Finalmente!

    Responder
  6. Avatar de Brickage
    Brickage

    ..Não? Eles estão a bloquear sites que NÃO são seguros. Mas que raio de titulo é este?

    Responder
    1. Avatar de int3
      int3

      sites que são seguros mas que usam SHA-1

      Responder
      1. Avatar de Alegom
        Alegom

        Não percebendo muito do assunto, é isto que deduzo do artigo:
        SHA-1 não é seguro.
        Logo, sites que usam SHA-1 não são seguros.
        Onde falha a lógica?

        Responder
        1. Avatar de Jorge Carvalho
          Jorge Carvalho

          SHA-1 ainda é seguro. A colisão foi parcial e apenas foi tomada a decisão de antecipar a data inicial de fim de suporte de SHA-1.

          Abc

          Responder
        2. Avatar de Joao
          Joao

          A lógica é que como ainda ninguém conseguiu falsificar certificados que usem o algoritmo SHA1 em público, ou seja: gabar-se de tal… apesar de haver imensas pessoas especializadas na área da criptografia a dizer à bastante tempo (anos) que é altura de utilizar algo mais sofisticado, enquanto ninguém em público demonstrar como é fácil falsificar, é como se estivesse tudo bem… é um pouco “está tudo bem até que me provem que está tudo mal”… e quando estiver tudo mal vai se a correr reparar… mas algo me diz que provavelmente a Google tem capacidade para falsificar ou acha que é possível, e querem acabar com essa vulnerabilidade o quanto antes… se não esperavam mais um ano e seguiam o exemplo da Microsoft.

          Responder
      2. Avatar de rand
        rand

        SHA-1 é considerado inseguro à já quase um ano

        Responder
    2. Avatar de rand
      rand

      Exatamente, já à algum tempo que SHA-1 é considerado um método inseguro

      Responder
  7. Avatar de YaBa
    YaBa

    Mais depressa abro o Firefox do que o admin do site muda o certificado.

    Responder
  8. Avatar de Carlos
    Carlos

    Na verdade TODOS os principais browsers, Chrome, Firefox e Microsoft Edge (provavelmente o Internet Explorer também) vão fazer isso.

    Aliás, quem propôs antecipar a data de 1 de janeiro de 2017 para 1 de junho de 2016 foi a Microsoft: https://cabforum.org/pipermail/public/2015-October/006121.html

    Mas não deixa de ser interessate que seja a Google a ficar com os louros.

    Responder
    1. Avatar de YaBa
      YaBa

      Vai acontecer o mesmo que está a acontecer actualmente com o Java.
      O Chrome não dá? usa-se o Firefox, também deixou de dar? Opera.

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.