Introdução
Nos últimos anos, HTTPS a adoção vem aumentando rapidamente (o Google fornece uma relatório de transparência que mostra esse progresso mais visualmente). HTTPS usa SSL /TLS certificados para proteger dados e é um dos mecanismos de segurança de navegador mais importantes contra ameaças cibernéticas. A indústria da web agora está encorajando (ou exigindo) o HTTPS como um substituto para o HTTP inseguro.
No entanto, essa segurança adicional aumentou inevitavelmente a complexidade operacional para usuários de navegadores e administradores de servidores da web. O HTTPS depende de componentes que podem falhar potencialmente e produzir mensagens de erro obscuras.
Além disso, os avisos de segurança não significam necessariamente que o servidor ou navegador está sob ataque. Certificados expirados, revogados ou configurados incorretamente também podem produzir mensagens semelhantes. Por esse motivo, muitos usuários podem ficar confusos (ou aborrecidos) e ignorar os erros de HTTPS, embora desconsiderar as mensagens de erro de segurança possa ser muito perigoso. (Na verdade, os fornecedores de navegadores estão tornando os avisos de segurança cada vez mais difíceis de ignorar.)
Os administradores enfrentam a preocupação adicional de que a exibição consistente de avisos de segurança de seus sites aos visitantes possa ter um efeito negativo na reputação do site. É imperativo que os administradores do site investiguem e corrijam rapidamente qualquer problema subjacente.
Para ajudar, examinaremos alguns dos avisos de erro HTTPS mais comuns, explicaremos o que eles significam e sugeriremos como os administradores podem remediá-los.
“Não confiável para este site”
SSL /TLS certificados são geralmente emitidos por entidades terceirizadas chamadas Autoridades de Certificaçãoou CAs. CAs (como SSL.com) assinam criptograficamente cada certificado que emitem. Isso permite que os navegadores confirmem que o certificado para um site específico foi emitido por uma CA confiável (uma que já foi adicionada aos armazenamentos de certificados do navegador).
O erro "Não confiável" significa que um servidor da Web apresentou um certificado assinado com uma assinatura digital que o navegador não reconhece. Um navegador mostrará essa mensagem de erro em dois casos:
- O servidor emprega um servidor não confiável autoassinado certificado ou
- A instalação do certificado no servidor falhou, portanto, o navegador não pode verificar corretamente sua autenticidade.
Os certificados autoassinados são exatamente como os certificados normais, mas são criados localmente pelos administradores do servidor web, em vez de CAs confiáveis. Esses certificados podem ser usados para URLs internos, páginas estáticas ou sites com pouco tráfego.
Como os certificados autoassinados não estão vinculados a uma CA confiável, os navegadores não confiam neles automaticamente. Um usuário deve ignorar manualmente um aviso de segurança (normalmente dizendo ao navegador para “confiar” no certificado autoassinado) antes de poder visitar o site. O procedimento varia de navegador para navegador e, a menos que você saiba exatamente quem emitiu o certificado não confiável (e por quê), recomendamos que você evite ignorar tais avisos
O segundo caso ocorre quando uma instalação falha (ou é feita incorretamente). Uma ocorrência comum é deixar de fora os certificados intermediários, também chamados de cadeia de certificados, ao executar a instalação. Isso quebra a cadeia de confiança da CA para o certificado do site, para que os navegadores não reconheçam o certificado como confiável e apresentem esse erro aos visitantes.
Ao receber o erro "Não confiável", considere a página que está sendo visitada. É altamente improvável que uma página com tráfego intenso ou uma que lide com informações confidenciais do usuário (como cartões de crédito, endereços de cobrança e assim por diante) usem um certificado autoassinado.
Portanto, pode ser uma das duas possibilidades: o servidor (ou a conexão) foi invadido (e os invasores substituíram o certificado original por um deles) ou o administrador tentou atualizar o certificado do servidor e falhou em algum lugar do processo.
Por precaução, recomendamos que os usuários evitem usar qualquer site que mostre esse erro até que o problema subjacente seja resolvido.
Como corrigir um erro "Não confiável"
Não é recomendável usar certificados autoassinados para páginas externas ou da Internet, como páginas de logon ou check-out de clientes. De fato, a maioria dos documentos de padrões e certificações, como o PCI-DSS, exige o uso de certificados assinados corretamente de uma CA credenciada para qualquer operação sensível.
Se você adquiriu um certificado de uma CA e ainda encontra esse erro, verifique se a instalação não produziu nenhum erro e se seguiu as etapas corretamente. Se isso não ajudar, entre em contato com a CA de emissão para obter mais assistência.
"Sua conexão não é segura"
Alguns navegadores podem afirmar que a conexão é "não privada" em vez de "não segura", mas todos eles se referem ao mesmo problema: o certificado do servidor não pode ser validado. Aqui, o navegador encerrará a conexão com o site e exibirá essa mensagem de erro. Os certificados não são validados quando são revogados ou expirados.
Os certificados digitais podem ser revogados por vários motivos, e as CAs confiáveis mantêm serviços para exibir publicamente seus certificados revogados. (Esses incluem Lista de revogação de certificados (LCR) e Protocolo de status de certificado online (OCSP).) Os navegadores consultam esses serviços antes de confiarem em um certificado. Os usuários que se deparam com certificados revogados devem evitar o uso do site, pois isso significa que sua conexão pode estar comprometida.
Os certificados SSL também expiram naturalmente após um período de tempo e devem ser renovados. Isso ajuda a garantir que todas as credenciais sejam verificadas periodicamente, oferecendo uma garantia razoável de que o certificado cobre um servidor controlado por um proprietário legítimo e não por um invasor mal-intencionado.
Como corrigir o erro "Não seguro"
Recomendamos que você renove seus certificados antes que eles expirem para evitar esse erro. SSL.com os clientes podem usar nosso serviço integrado de alerta de expiração para avisar sobre a expiração futura do certificado.
"Conteúdo Misto"
Um aviso de conteúdo misto refere-se a componentes de sites HTTPS que são recuperados por HTTP. Exemplos comuns incluem imagens remotas, scripts ou qualquer outro elemento transmitido de maneira insegura (mesmo que no mesmo servidor).
Os invasores podem explorar conexões HTTP não seguras para comprometer o navegador do visitante (ou até mesmo o computador). Apesar do risco evidente, muitos sites ainda usam HTTP para recuperar componentes remotos. Para alertar os usuários contra conexões de conteúdo misto, os navegadores mostram um indicador de segurança negativo.
Os usuários devem evitar todas essas conexões, se possível, mas infelizmente vários sites legítimos ainda não resolveram esse problema. Portanto, sugerimos cautela e bom senso ao escolher visitar sites que exibem o aviso de conteúdo misto.
Como corrigir um aviso de "Conteúdo misto":
Os administradores devem procurar no código-fonte do site deles URLs começando com http://. Para impedir que os navegadores mostrem o aviso de conteúdo misto, substitua todos os URLs HTTP por HTTPS (ou seja, eles devem começar com https://) URLs apontando para o mesmo recurso. Os seguintes trechos mostram um exemplo:
Deve mudar para:
Se o servidor remoto já oferece suporte a HTTPS, você pode apenas alterar os URLs em seu código-fonte. No entanto, se você não tiver controle do servidor remoto, terá que negociar com o terceiro que controla o servidor ou encontrar um serviço diferente com suporte HTTPS para eliminar este aviso.
"Incompatibilidade de nome"
Os navegadores mostram essa mensagem de erro quando um servidor apresenta um certificado digital para um nome de domínio diferente. Isso pode ocorrer porque o domínio do certificado estava errado (por exemplo, certificado solicitado para domain.org em vez de domain.com) durante a compra do certificado, por configuração incorreta (apresentando outro certificado em vez do esperado) ou porque o certificado não cobre vários domínios ou subdomínios usados no site.
Como corrigir o erro "Incompatibilidade de nome"
Se o domínio não estiver escrito corretamente, entre em contato com a CA emissora para obter possíveis soluções.
A configuração incorreta pode ser resolvida atualizando o site para utilizar o certificado correto.
Por fim, se estiver administrando um site que contenha vários domínios (ou subdomínios), considere usar um Certificado SAN (Subject Alternative Name) em vez de vários certificados individuais. Um único certificado SAN pode proteger centenas de domínios diferentes e até domínios curinga (por exemplo, *.ssl.com) além de ser muito mais fácil de gerenciar e manter do que vários certificados (sem mencionar que pode ser mais fácil no seu bolso).
Conclusão
Pode-se pensar no HTTPS como uma caixa preta, mas na verdade é uma coleção de componentes interconectados que devem funcionar em harmonia para ser eficaz. As mensagens de aviso que descrevemos são uma parte irritante, mas vital da Internet. Esperamos que fornecer uma compreensão básica dessas mensagens possa ajudar a manter os usuários seguros e tornar os administradores mais eficientes.
Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou clique no link de bate-papo no canto inferior direito desta página.
