O protocolo de comunicação HTTP é a base da internet e funciona no modelo de requisição-resposta para clientes-servidores, um navegador web, nesse caso, é o cliente e o servidor são as aplicações hospedadas em uma nuvem pública ou privada.
Toda vez que você digita um URL na barra de endereços do navegador, está realizando uma requisição que é respondida com conteúdo de texto, imagens, vídeos etc.
Esse protocolo evoluiu para o padrão HTTPS, adicionando uma camada de segurança para permitir que os dados transmitidos entre clientes e servidores usem uma conexão criptografada que verifica a autenticidade da comunicação, além de impedir a interceptação do conteúdo por terceiros.
Essa camada de segurança estava, inicialmente, baseada no protocolo SSL criado em 1994, mas evoluiu para o TLS (transport layer security) em 1999, cuja última versão (1.3) foi lançada em agosto de 2018. No entanto, mais de 850.000 websites ainda utilizam as versões 1.0 e 1.1 do protocolo TLS e o acesso a esses sites começa a ser bloqueado pelos navegadores web agora no começo de 2020.
As versões iniciais do TLS foram lançadas em 1996 e 2006 respectivamente e usam algoritmos de criptografia considerados fracos e que são vulneráveis a uma série de ataques descobertos nas últimas duas décadas como Beast, Lucky 13, Sweet 32, Crime e Poodle. Todas estas vulnerabilidades permitem que um atacante acesse o tráfego web do usuário em texto aberto.
A remoção das versões 1.0 e 1.1 foi anunciada há dois anos atrás
Quando a versão 1.3 do protocolo TLS foi lançada, os maiores fabricantes de browsers (Apple, Google, Mozilla e Microsoft) definiram que deixariam de suportar o TLS 1.0 e 1.1 no início desse ano. O fim do suporte ao protocolo começou em 2019, quando os navegadores começaram a classificar os sites com as versões 1.0 e 1.1 do protocolo como “não seguros”, status indicado pelo cadeado na barra de endereços.
Fonte: ZDNet
Ainda no mês de março de 2020, os browsers começarão a mostrar alertas de página inteira quando o usuário tentar acessar essas páginas, bloqueando seu acesso.
Página de erros do Chrome. Fonte: ZDNet
Página de erro no Firefox. Fonte: Mozilla
As páginas de alerta estão programadas para serem lançadas no Chrome 81 e no Firefox 74, ambas serão lançadas nesse mês. O navegador Safari também deixará de oferecer suporte ao TLS 1.0 e 1.1 em suas novas versões, de acordo com esse anúncio da Apple. A Microsoft via seguir os outros fabricantes com o Edge 82.
De acordo com a Netcraft, mais de 850.000 sites ainda utilizam os protocolos de segurança desatualizados, incluindo bancos, telecoms, lojas online e comunidades. Mais de 5.000 desses websites estão ranqueados no Alexa Top 1 Million Sites, ou seja, representam uma grande parte do tráfego de informações da internet.
Como se proteger?
Se você é um usuário ou gerente de redes, segurança da informação ou TI, pode configurar os navegadores para somente acessar sites que utilizem os protocolos TLS mais atualizados. Para isso, basta abrir a página de configurações do browser e procurar por “Usar TLS 1.2” nas opções. Também é necessário desmarcar a opção “Usar TLS 1.0” para que os sites que estejam utilizando as versões antigas do protocolo não possam ser acessados.
Agora se você tem uma aplicação online ou website e precisa garantir que as versões mais atualizadas do protocolo sejam utilizadas, é necessário que você consulte seu provedor de hospedagem para checar quando as versões 1.2 e 1.3 serão implementadas. Nas aplicações que rodam em servidores privados é necessário realizar uma análise mais aprofundada da arquitetura dos ambientes, determinar quais os protocolos utilizados pelos diversos hosts e adotar novas certificações quando necessário.