CloudFlare oferece criptografia de tráfego grátis a todos os clientes

A provedora de soluções de segurança CloudFlare deu uma boa notícia aos preocupados com a proteção de dados na web. A partir desta segunda-feira, um novo serviço gratuito chamado Universal SSL passará a criptografar automaticamente o tráfego de todos os sites de clientes da empresa. De forma resumida, a medida deverá incluir um HTTPS em todos os endereços da rede de fornecimento de conteúdo (CDN, na sigla em inglês).

De acordo com um comunicado publicado no blog da companhia, a implantação do serviço – que tem envolvimento da Comodo e da GlobalSign – ocorrerá no decorrer do dia, mas o processo deve ser finalizado ainda hoje. A novidade valerá tanto para clientes de planos pagos quanto os mais de 2 milhões que escolheram a opção gratuita – o que dobrará o número de sites na web que suportam conexões criptografadas, na estimativa do CEO Matthew Prince.

Após o fim da implementação, novos assinantes do plano gratuito da Cloud Flare ainda terão que aguardar pelo menos 24 horas para poder ativar o Universal SSL nos próprios sites, mesmo depois de configurar o certificado – algo que deve levar em torno de cinco minutos. Esse tempo de espera não existirá caso o cliente opte por algum plano pago.

Donos de logins que pagam mensalidade também terão como vantagem o fato de o Universal SSL funcionar em qualquer navegador, mesmo os antigos – de forma que é possível tornar a conexão segura padrão. Em contas gratuitas, o serviço de SSL exigirá que o visitante de um site use um browser mais moderno – lançado há menos de seis anos e que não rode em Windows XP, em resumo. Não deve ser um grande problema, no entanto, visto que mais de “80% das solicitações [recebidas por sites do CloudFlare] vêm de browseres modernos, e essa porcentagem está crescendo rapidamente”, conforme escreve Prince.

Funcionamento e limitações – De acordo com o texto publicado no blog da empresa, o certificado poderá ser configurado “em cinco minutos por uma interface na web”. O processo ativará no tráfego a criptografia TLS, e os certificados usarão chaves baseadas em um Algoritmo de Assinatura Digital de Curvas Elípticas (ECDSA, ou “Elliptic Curve Digital Signature Algorithm”, em inglês). Segundo outro comunicado emitido pela companhia, isso garante que “todas as conexões com sites da CloudFlare contem com Perfect Forward Secrecy [explicado resumidamente aqui] e estejam assinadas com ECDSA e a função de hash SHA-256”.

O serviço “elimina a necessidade de organizações lidarem com uma autoridade de certificação ou configurarem a criptografia de seus próprios servidores”, segundo o post no blog. Mas talvez não totalmente, ao menos por ora: apenas a conexão do servidor da Cloud Flare com o computador do visitante será criptografada por padrão com o Universal SSL, visto que a CDN da empresa age apenas como uma “intermediária”.

Para ativar o modo “Full SSL”, que protege o tráfego também entre a base de dados original e a da companhia, ainda será necessário um certificado externo ou ao menos a presença de SSL no serviço de hospedagem, como mostra este esquema. É algo recomendável, especialmente se o site precisa lidar com informações mais sensíveis, como dados de cartão.

O que isso traz de benefícios? – Christian Fredrikson, CEO da F-Secure, já disse a INFO que “criptografar tudo é a única forma de ficarmos seguros na web”, e a medida da CloudFlare é bom passo neste sentido – assim como foram as tomadas por Google, Yahoo! e Microsoft recentemente.

A própria empresa reforça isso: “ter criptografia avançada pode não parecer importante para um pequeno blog, mas é algo crítico para avançarmos em direção ao futuro ‘criptografado por padrão’ da Internet”, escreveu Matthew Prince. “Cada byte, por mais que pareça mundano, que flui cifrão pela Internet torna mais difícil a tarefa daqueles que querem interceptar, reprimir ou censurar a web.”

Fora isso, esse Universal SSL abre portas para o suporte ao protocolo SPDY, que promete “melhorar a performance da web” de diferentes formas. O sistema foi desenvolvido pelo Google para transportar conteúdo com mais velocidade e está implementado em quase todos os principais navegadores – falta apenas o Safari, da Apple, que deve recebê-lo com o Yosemite. O SPDY, no entanto, depende da proteção do tráfego para funcionar, e isso é algo a novidade da CloudFlare resolve.

Enfim, se o novo serviço se mostrar realmente viável, a provedora de soluções de segurança espera que outras companhias do ramo, como a Akamai, Incapsula e Amazon CloudFront, façam o mesmo. Caso isso aconteça, será uma ótima notícia não só para clientes, que deixarão de ficar dependentes de uma só marca na hora de proteger parte do tráfego sem gastar muito, e para a web.