Ao navegar na Internet, algo essencial e altamente valorizado pelos internautas é a segurança. No entanto, quando navegamos na rede de redes, nem todas as páginas que visitamos são. Nesse aspecto, podemos encontrar sites que não utilizam protocolos de segurança modernos e seguros, o que pode fazer com que nossas informações pessoais vazem. Quando falamos de segurança na web, geralmente aparecem nomes como TLS e HTTPS. Graças a um relatório em que foram analisadas um grande número de páginas da web, vamos conhecer a situação atual. Neste artigo, veremos como a Internet está se tornando cada vez mais segura, mas existem técnicas antigas de criptografia que às vezes tornam os sites que visitamos inseguros.
Protocolo TLS
Uma página da web é mais ou menos segura dependendo da criptografia usada. Por exemplo, sites diferentes usam o protocolo TLS para criptografia. De referir ainda que com o tempo este protocolo torna-se obsoleto e deixa de garantir a nossa segurança.
Se falarmos do protocolo TLS, podemos dizer que as versões 1.0 e 1.1 estão desatualizadas e não devem ser utilizadas. Por esse motivo, alguns navegadores não permitem mais acesso a essas páginas da web por padrão. Nesse aspecto, uma criptografia desatualizada não nos protegerá adequadamente e devemos optar pelo TLS em sua versão 1.3 ou 1.2. Você pode estar interessado em conhecer os protocolos SSL, TLS e HTTPS, alguns dos quais falaremos mais adiante.
Cifras antigas ainda usadas
Em um novo relatório da Venafi, chamado de 2021 Relatório do Rastreador TLS , uma análise de segurança detalhada dos 1 milhão de sites mais importantes do mundo foi feita nos últimos 18 meses. Os resultados mostram que a Internet está se tornando mais segura. Um ponto positivo é que o uso de criptografia está aumentando e a adoção de protocolos TLS mais modernos está aumentando. No entanto, muitas empresas ainda usam algoritmos de criptografia RSA antigos para gerar chaves, embora algoritmos de criptografia mais fortes, como o ECDSA, estejam disponíveis.
O relatório também comenta que, ao longo dos anos, o uso de HTTPS aumentou tremendamente, embora deva ser observado que a taxa de crescimento está diminuindo. No entanto, continuamos a ver mais uso de HTTPS do que nunca. Este relatório constata que 72% dos sites agora redirecionam ativamente o tráfego para usar HTTPS, conforme visto nesta tabela:
Também o uso de HSTS (HTTP Strict Transport Segurança) aumentou significativamente. Neste caso, observa-se um aumento de 44%, agora são 191,025 sites em comparação com os 132,466 que tínhamos em março de 2020.
O uso de TLS em conjunto com RSA e ECDSA
Um fato digno de nota é que mais da metade do milhão de sites que usam HTTPS estão usando TLSv1.3, que é a versão mais recente do TLS. Nesse aspecto, deve-se notar que ultrapassou o TLSv1.2 para se tornar a versão mais popular deste protocolo. Você pode estar interessado em saber qual versão do protocolo TLS um site usa. Esta seria a tabela TLS comparativa entre abril de 2020 e novembro de 2021.
Por outro lado, as chaves RSA para autenticação são atualmente as mais amplamente utilizadas. Esperava-se que a adoção do uso do TLSv1.3 aumentasse bastante o número de ECDSAs. Uma das principais razões para manter o RSA para autenticação são os clientes legados que ainda não suportam o ECDSA, mas que não justificariam os números muito baixos que você tem.
No caso de usar chaves RSA maiores por motivos de segurança, devemos usar ECDSA. A razão é que é um algoritmo de chave mais forte e oferece melhor desempenho.
Por fim, deve-se notar que a Let's Encrypt agora lidera o mercado de certificados. De um milhão de sites analisados, 240,461 sites estavam usando o Let's Encrypt. O próximo maior emissor de certificados é a Cloudflare, que possui metade dos sites da Cloudflare. Por fim, se adicionarmos Let's Encrypt e Cloudflare, eles representarão mais de 50% de todos os certificados.