No futuro, o Google até planeja remover a palavra "Seguro" da barra de endereço. Todos os sites devem estar seguros por padrão, afinal.
Como funcionam os sites HTTPS "seguros"
Mesmo que você insira senhas, forneça números de cartão de crédito ou receba dados financeiros confidenciais pela conexão, a criptografia garante que ninguém possa escutar o que está sendo enviado ou alterar os pacotes de dados enquanto eles estiverem viajando entre seu dispositivo e o servidor do website.
Isso ocorre porque o site está configurado para usar a criptografia SSL segura. Seu navegador usa o protocolo HTTP para se conectar a sites tradicionais não criptografados, mas usa HTTPS - literalmente, HTTP com SSL - ao se conectar a sites seguros. Os proprietários de sites precisam configurar o HTTPS antes de funcionar em seus sites.
O HTTPS também oferece proteção contra pessoas mal-intencionadas que se fazem passar por um site. Por exemplo, se você estiver em um ponto de acesso público Wi-Fi e se conectar ao Google.com, os servidores do Google fornecerão um certificado de segurança válido apenas para o Google.com. Se o Google estivesse apenas usando HTTP não criptografado, não haveria como saber se você estava conectado ao Google.com real ou a um site de impostores criado para enganar você e roubar sua senha. Por exemplo, um ponto de acesso Wi-Fi mal-intencionado pode redirecionar as pessoas para esses tipos de sites impostores enquanto eles estão conectados ao Wi-Fi público.
(Tecnicamente, isso não confirma a identidade, bem como os certificados de Validação Estendida (EV). No entanto, é melhor do que nada!)
O HTTPS também oferece outras vantagens. Com o HTTPS, ninguém pode ver o caminho completo das páginas da web que você visita. Eles só podem ver o endereço do website ao qual você está se conectando. Então, se você estivesse lendo sobre uma condição médica em uma página como example.com/medical_condition, até mesmo seu provedor de serviços de Internet só conseguiria ver que você está conectado ao example.com - não qual condição médica você está lendo sobre. Se você estiver visitando a Wikipédia, seu ISP e qualquer outra pessoa só poderão ver que você está lendo a Wikipédia, não o que você está lendo.
Você pode esperar que o HTTPS seja mais lento que o HTTP, mas você estaria errado. Os desenvolvedores têm trabalhado em novas tecnologias, como o HTTP / 2, para acelerar sua navegação na Web, mas o HTTP / 2 só é permitido em conexões HTTPS. Isso torna o HTTPS mais rápido que o HTTP.
Por que os sites "não são seguros" se não estiverem criptografados
O Chrome está dizendo que a conexão não é segura porque não há criptografia para proteger a conexão. Tudo é enviado pela conexão em texto simples, o que significa que é vulnerável a bisbilhotar e adulterar. Se você digitar informações privadas, como senha ou informações de pagamento, em um site desse tipo, alguém poderá espioná-lo enquanto viaja pela Internet.
As pessoas também podem assistir aos dados que o site está enviando para você. Então, mesmo que você esteja navegando na Web, os bisbilhoteiros podem ver exatamente quais páginas da Web você está visualizando. Seu provedor de serviços de Internet também saberá exatamente quais páginas da Web você está visualizando e poderá vender essas informações para uso na segmentação de anúncios. Outras pessoas no Wi-Fi público do café também podem ver o que você está vendo.
Um site não criptografado também é vulnerável a adulterações. Se alguém estiver entre você e o website, ele poderá modificar os dados que o website está enviando para você ou modificar os dados que você está enviando ao site, executando um ataque intermediário. Por exemplo, isso pode ocorrer quando você está usando um ponto de acesso Wi-Fi público. O operador do ponto de acesso pode espiar sua navegação e capturar detalhes pessoais ou modificar o conteúdo da página da Web antes que ela chegue até você. Por exemplo, alguém poderia inserir links de download de malware em uma página de download legítima se essa página de download fosse enviada por HTTP em vez de HTTPS. Eles poderiam até criar um falso site falso que finge ser um site legítimo. Se o site legítimo não usar HTTPS, não há como perceber que você está conectado a um falso e não ao real.
Por que o Google fez isso?
Originalmente, apenas alguns sites usavam HTTPS.Seu banco e outros websites confidenciais usariam HTTPS, e você seria redirecionado para uma página HTTPS ao fazer login em websites com uma senha e digitar o número do seu cartão de crédito. Mas foi isso.
Naquela época, o HTTPS custava algum dinheiro para os proprietários de sites implementarem, e as conexões HTTPS seguras eram mais lentas que as conexões HTTP. A maioria dos sites usava apenas HTTP, mas isso permitia bisbilhotar e adulterar a conexão. Isso tornava os pontos de acesso Wi-Fi públicos arriscados de usar.
Para fornecer verificação de privacidade, segurança e identidade, o Google e outros queriam mover a Web para HTTPS. Eles fizeram isso de várias maneiras: o HTTPS agora é ainda mais rápido que o HTTP, graças às novas tecnologias, e os proprietários de sites podem obter certificados SSL gratuitos para criptografar seus websites a partir do Let's Encrypt, sem fins lucrativos. O Google prefere sites que usam HTTPS e os promove nos resultados de pesquisa do Google.
75% dos sites visitados no Chrome no Windows agora usam HTTPS, de acordo com o relatório de transparência do Google. Agora é hora de ligar o switch e começar a avisar os usuários sobre sites HTTP.
Nada mudou - o HTTP ainda tem os mesmos problemas que sempre tem. Mas sites suficientes já mudaram para o HTTPS, e é hora de avisar os usuários sobre HTTP e incentivar os proprietários de sites a pararem de arrastar os pés. A mudança para HTTPS tornará a web mais rápida, melhorando a segurança e a privacidade. Também torna os hotspots Wi-Fi públicos mais seguros.