Google Chrome na contra mão da segurança

[ad#texto]

O que você acharia se ao invés de reforçar a segurança de um browser simplesmente reduzisse?

É isso que o Google está fazendo no Chrome.

As próximas versões do Google Chrome deixará de verificar se um certificado é válido, ou seja, um problema muito comum durante o ano de 2011 que foi a mal formação de certificados, induzindo o usuário que um site tido como seguro por utilizar o HTTPS era na verdade um site malicioso deixará de ser visto como problema de segurança pelo Google.

O motivo disso tudo é porque a pesquisa que o Google efetua via OCSP na unidade certificadora para validar se um certificado é de fato válido estava atrasando a navegação em torno de 300ms, e em alguns casos com o site da certificadora fora do ar disparava um erro de soft fail.

Uma proposta do Google é criar uma lista negra local, porém isso trataria problemas de atualização já que um certificado poderia iludir dezenas de milhares de usuários até ser atualizado na lista negra local de todos e ainda outros tipos de malware poderiam paralisar essas atualizações.

Ou seja, em vez de tentar tratar a situação o Google simplesmente joga a toalha e alega que não é problema de segurança? Se já estava implementado porque remover?

A solução agora é agregar softwares externos que consigam efetuar essa validação.

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.