O Google anunciou na semana passada, por meio de um post em seu blog de desenvolvedores para o Chrome, que pretende rebaixar o nível de confiança em certificados digitais emitidos pela Symantec. Isso significa que sites que têm certificados da empresa de segurança poderão não ser exibidos (ou mostrar uma série de avisos de segurança) aos usuários do navegador do Google.

De acordo com a empresa, a Symantec deu acesso indevido a suas ferramentas de autenticação a quatro grupos, que emitiram de maneira inadequada mais de 30 mil certificados de autenticação para sites. Por esse motivo, o Chrome passará a confiar menos em certificados emitidos pela empresa de segurança, o que poderá impactar a navegação dos usuários em sites que tenham certificados da Symantec.

Certificação digital

Quando um site usa HTTPS, ele precisa garantir um certificado de autenticidade que prove que ele realmente é aquele site. Esses certificados são emitidos por Autoridades de Certificação (CAs, na sigla em inglês), uma das quais é a Symantec. Segundo o TechCrunch, o navegador busca por esses certificados para garantir ao usuário que aquele site realmente é o que diz ser. 

O problema foi que o Google fez um levantamento sobre os certificados emitidos pela Symantec e verificou que eles não se adequavam aos procedimentos de segurança que o Google exige. Isso, de acordo com o engenheiro de software da empresa Ryan Sleevi, criava “um risco significativo para os usuários do Google Chrome”.

Resposta

A Symantec, de sua parte, não concordou com a atitude tomada pela empresa. Em um post em seu blog, ela diz que a ação do Google foi “inesperada” e “irresponsável”: “As alegações do Google sobre nossas práticas de emissão [de certificados] e a extensão de nossos problemas no passado são exageradas e enganadoras”, disse a empresa.

Fora isso, a empresa ainda acusou o Google de ignorar práticas perigosas de outras fornecedoras de certificados e “pegar no pé” da Symantec, segundo o Engadget. No seu comunicado, a empresa reforça aos seus clientes que eles “podem continuar a confiar na segurança dos certificados SSL/TLS da Symantec” e que estão “abertos a discutir a questão com o Google para resolver a situação, no interesse de nossos clientes e parceiros”.

O que fazer?

Se você usa o Chrome, pode começar a receber mais avisos do tipo “Este site não é seguro”. Nesses casos, a recomendação é a de sempre: evite o site. Mesmo que o atrito entre o Chrome e a Symantec se revele não ser nada sério, você não vai querer correr o risco. Se for essencial acessar aquele site, tente entrar com outro navegador de sua confiança.

Por outro lado, se você for um desenvolvedor, vale a pena ficar esperto a essa notícia. No post do blog de desenvolvedores, o Google deu mais detalhes sobre como essa mudança afetará o suporte a certificados emitidos pela Symantec.

[Engadget, TechCrunch, Google, Symantec]