PplWare Mobile

Porque não tornar o seu site seguro com HTTPS?


Pedro Pinto é Administrador do site. É licenciado em Engenharia Informática pelo Instituto Politécnico da Guarda (IPG) e obteve o grau de Mestre em Computação Móvel pela mesma Instituição. É administrador de sistemas no Centro de Informática do IPG, docente na área da tecnologia e responsável pela Academia Cisco do IPG.

Destaques PPLWARE

  1. Zinco says:

    Não percebi nada do que escreveu. Que é isso de cifra e chaves e … isso serve pra que ?

  2. Joao says:

    De forma a enriquecer o artigo, deixo o seguinte link onde é elucidada as diferenças entre http e https – https://www.httpvshttps.com/

  3. Ricardo Baptista says:

    Quem não quiser gastar dinheiro em certiticado use letsencrypt que é de borla 🙂

    • Filipe says:

      Já usei letsencrypt e faz o que é pedido sem problemas. Os certificados pagos dão alguma segurança adicional, mas para a maioria dos sites serve perfeitamente. Até a tsf.pt usa letsencrypt…

    • Paulo Jorge Francisco Lopes says:

      Para isso e necessario ter accesso a linha de comandos do servidor e ‘unhas’, nao e clicar no botao para instalar

      • Gekko says:

        O cert-bot automatiza a criação do certificado do letsencrypt, por isso a parte do tamanho das unhacas que tens que ter para por aquilo a correr “relativa”.
        https://certbot.eff.org/.

        E se por acaso não tens acesso à linha de comandos, mas apenas a um painel webadmin, também é possivel instalar.

        Podes criar os certificados fora do servidor, criar as directorias para colocar o ficheiro que prova que es dono (ou tens privilegios) do servidor. Claro que esta opção é chata, mais chata que fazer por linha de comandos.

        A terceira opção usar um web hoster que suporte letsencrypt; https://community.letsencrypt.org/t/web-hosting-who-support-lets-encrypt/6920

      • int3 says:

        “linha de comandos”. wat?
        qualquer certificado pago ou não é preciso ser instalado. em IIS não é necessário “linha de comandos”.

      • Filipe says:

        Tens razão Paulo, mas é daquelas coisas em que se tem o que se paga. Quanto às unhas é mais ou menos relativo. Sou um autodidata nestas coisas e confesso que não foi à primeira que consegui instalar o primeiro certificado. Mas tal como o Gekko disse existem scripts de automatização e tutoriais no google e em +-30min já tinha tudo a funcionar. A parte engraçada foi 3h depois quando me apercebi que me tinha esquecido de fazer os redirects do http://dominio.com para https://www.dominio.com … (não limpei a cache e parecia que estava tudo ok)

  4. Ricardo says:

    uma forma para gerar mais receitas sem qualquer dúvida, discriminando muitos sites pelo caminho…
    Google dona de tudo e todos….

    • Cfpinto says:

      Quando não se sabe o que se diz mais vale estar calado. Os browsers deviam era simplesmente bloquear sites não SSL

      • int3 says:

        e partias praticamente mais de metade da internet.
        boa zé.

        • Vituku says:

          Mas é o que irá acontecer mais cedo ou mais tarde, isso já foi falado em mais de um evento tecnológico a que fui. E claro que faz todo o sentido, e já existem alguns serviços de hosting que já incluem o certificado SSL, mas claro que não são os mais baratos, mas como todos sabemos, o barato sai caro, e as empresas têm de oferecer uma boa experiência web aos seus clientes para se poderem destacar (ou no mínimo equiparar) aos seus mais directos concorrentes.

          • int3 says:

            E os serviços internos? e serviços legacy? acesso a equipamentos internos?
            tu para um serviço interno (acesso web ao router de casa) vais ter que pagar um certificado? olha pensa bem.

          • pedro ferreira says:

            completamente sem nexo. O ssl, previne como obvio o transporte, contudo a proteção foi pensada na altura que usavamos HUBS. Actualmente com o hardware que existe e estarmos 90% do tempo atras de um switch é quase inegavel que o ssl na camada de transporte nao tem assim tanta importancia. Se for capaz de me meter no meio, um ataque MITM torna o ssl obsoleto.
            Limitar ao SSL nao tem nexo, nao usar ssl tmb n tem nexo.
            Certificados … pq razao aparece que um certificado pode nao ser valido ? pq nao se pagou …. é um bussiness como qq outro.

          • cfpinto says:

            Pedro Ferreira. O protocolo HTTPs é tier to tier. A chave public esta no browser (ou computador) e a privada no servidor (ou load balancer) por isso a menos que te infiltres num destes tiers não consegues ver o conteudo enviado, MITM torna-se inutil porque é so conteudo encriptado. Quanto ao facto dos certificados terem que ser emitidos por uma entidade certificada tem unica e exclusivamente a ver com o facto que os browsers nao devem confiar em todos os certificados, caso contrario estavamos sempre sujeitos a ataques MITM

          • cfpinto says:

            int3 – Servicos legacy esta na hora de actualizar ou deixar de usar nao? Servicos internos crias o teu proprio certificado e instalas em todos os clientes. Problema resolvido.

        • cfpinto says:

          E para ser sincero nao se perdia muito. Qualquer site que não esta por tras de um certificado SSL ou existe para te enganar ou os donos não querem saber. De qualquer das formas mais vale serem bloqueados. Vai a este site https://haveibeenpwned.com/ para ver a consequencia de “metade da internet” (e não só)

    • Vituku says:

      Hmmm…. Boa explicação sobre seja lá o que for que queiras dizer com isso.
      Descriminar sites? Como? Porquê?
      O que é que a google tem a ver com os certificados SSL ou os serviços de webhosting de terceiros?
      A Google é dona de tudo e de todos porquê? Até porque quase toda a gente usa Webhosting de muitas outras empresas. Claramente ou não sabes o que dizes ou sabes alguma coisa que mais ninguém sabe. LOL

    • Rodrigo says:

      Não fazes mesmo ideia do que estás a falar.

  5. sakura says:

    “The Heartbleed bug” custou 500E em certificados, letsencrypt tk for info.

  6. Tiago Matos says:

    SSL é o protocolo anterior, agora chama-se TLS… engraçado nem ser mencionado no artigo.

  7. Ricardo Freitas says:

    Por favor corrija, última linha:

    a instalar a instalar”

    Obrigado pelo artigo, cumprimentos

  8. Nelson Nunes says:

    uma sugestão, podiam ter completado o tema falando um pouco sobre os as diferencaos DV, OV e EV…

  9. Manuel says:

    Desculpem, mas penso já ter visto um artigo sobre “como criar o próprio negócio online”. Alguém sabe se houve, ou foi impressão minha? Obrigado

  10. Gonçalo says:

    Acho um erro os motores de busca penalizarem websites não https, nem todos precisam de um certificado de segurança.

    • Joao ptt says:

      Têm, como o Redin bem sabe, ou deveria saber.

      Quem tenta obter dados ilegitimamente têm todas as maneiras de obter certificados digitais, até sem pagar nada, mas mesmo que tivessem de pagar a maior parte já furtou dinheiro suficiente para abrir empresas fantasma em nome de algum sem abrigo e obter até certificados Extended Validation, por isso no que diz respeito a certificados não têm nada haver com a confiança, mas sim com identificação do local na Internet a que se está ligado… depois cabe à pessoa analisar o certificado e decidir o quanto quer depositar confiança nesse web site com base em outras informações que já dispõem.
      A maioria das pessoas contudo não analisa os certificados de todo, por isso até o Let’s encrypt pode ser utilizado para enganar as pessoas, mas não tenham dúvidas, até se consegue obter certificados EV, é tudo uma questão de conseguir enganar a pessoa que a empresa anterior mudou de nome e que agora é aquele o novo nome e pronto, se uma em cada 20 mil pessoas cair, o lucro poderá ser enorme…. assim como a viagem para o inferno garantida… mas com isso só têm de se preocupar depois de morrerem.

    • JJ says:

      Ora nem mais… Um site ter HTTPs ou não o torna por si só mais seguro.
      Os hackers tem sucesso nos seus esquemas, porque são bem feitos… Por isso, se para isso é preciso gastarem 100€ por um certificado, gastam. O retorno de certeza compensará esse investimento.

      Alem disso, sou vejo verdadeira vantagem para as empresas emissoras de certificados, que vão aumentar a sua receita. Até mesmo a própria Google, após ter adquirido uma empresa de certificados.

      E depois, que mais valia tem uma empresa com apenas um site informativo e com os seus contactos, visto que não vende nada online e o site será apenas para apresentar o seus serviços, não recolhendo qualquer informação delicada dos utilizadores?
      Nenhuma mais valia… apenas serve para gastar dinheiro…

      • Cfpinto says:

        Vê aqui https://www.troyhunt.com/dont-take-security-advice-from-seo-experts-or-psychics-neil-patel/ a importância de https mesmo quando não vendes nada no teu site. Educa-te antes de dizeres barbaridades

        • JJ says:

          Sim… pois… como sites com https nunca tenham tido problemas.
          Alem disso ao banalizar-se os certificados, eles deixam de ter o valor que tinham.

          Por outro lado, criar essa obrigatoriedade, pode criar o risco de a Internet deixar de ser livre.

          Não sou contra o https, apenas acho exagerado, querer-se que o mesmo seja aplicado em todos os cenários.

          • cfpinto says:

            É como falar para uma parede… Claro que sites em https tem problemas, mas sao diferentes, normalmente ligados a vulnerabilidades no software ou na cabeça dos programadores.

            Banalizar os certificados não retira valor aos mesmos, não sei que ideia parva é essa, os certificados vão continuar a fazer exactamente o mesmo. Pelo contrario, torna a web um bocadinho mais segura, obvio que as pessoas não podem assumir que só porque tem um cadeado verde ta tudo bem.

            A internet não é livre, alguem tem que pagar a ligação, os servidores etc, sejas tu, a tua mãe ou o dono da pastelaria da esquina. Não há almoços gratis. E quem paga a conta manda. Até redes como a Tor tem un certo nivel de moderação ve la tu

          • JJ says:

            Peço desculpa… talvez não me tenha feito entender.
            Falha certamente minha…

            Qualquer das formas, chegas-te um pouco ao ponto onde do que eu queria dizer. A banalização dos certificados, vai criar essa ideia de “mais segurança”, quando ela na realidade não será tanto assim…
            O problema esta nesse mesmo, das pessoas assumirem que é seguro por ter cadeado verde. Vai baixar os níveis de alerta dos utilizadores, porque passam a confiar mais num simples cadeado verde…

            Mas, pronto… sou uma parede difícil de se exprimir…

  11. Joao ptt says:

    Porque razão muitos web sites não usam ainda a ligação cifrada? Porque os fornecedores de alojamento querem cobrar ainda um dinheirão por certificados e em muitos casos exigem que a pessoa tenha um endereço IP dedicado… parece que nunca ouviram falar em certificado digitais SNI… é muito complicado para eles… porque eles querem maximizar os lucros como é óbvio.
    E esqueçam o Let’s Encrypt, muitas empresas de alojamento recusam-se a utilizar tal sistema, porque lá se ia a sua margem de lucro maravilhosa nos certificados digitais. Para certificados digitais que verificam os dados das organizações/ empresas ainda compreendia, tem de pagar a alguém para os verificar, agora só para validar endereços de Internet é mesmo só pelo lucro que querem fazer que não aceitam o gratuito Let’s Encrypt.

  12. Redin says:

    Bom, parece que só podemos confiar em certificados criados por empresas…

    …certificadas.

  13. Filipe says:

    Confesso que tenho alguma dificuldade em compreender muitos dos comentários a este artigo.
    O artigo apenas sugere em tornar os nossos sites mais seguros com uma cifragem dos dados introduzidos nesses mesmos sites.
    A cifragem em si mesma não garante que as intenções do criador do site sejam honestas, apenas garante que não seja tão fácil observar/interceptar os nossos dados em redes públicas (por exemplo).
    Para mim o melhor paralelismo dos sites https é imaginar que um certificado ssl é como a fechadura da porta de entrada das nossas casas. Se não existir, qualquer palerma pode simplesmente entrar dentro das nossas casas e dar uma espreitadela. Os nossos valores (leia-se passwords das contas email, n.º cartões crédito, etc.) ficam sujeitos à boa vontade de cada um.
    Já com uma fechadura, 99.999% das pessoas nem pensam entrar pois a coisa dá mais trabalho e a maioria das pessoas não é desonesta.
    Claro que existem fechaduras de todos os tipos e feitios (EV/OV/DV ssl), mas digamos que para um servidor de email ou um banco se usam os modelos mais caros e para um anexo para arrumar lenha qualquer coisa serve.
    Também é claro para todos todos os dias são assaltadas casas, que até os bancos são assaltados, e que a loja de um aldrabão também tem uma fechadura.
    Por isso julgo que não vale a pena tanta exaltação. Todas as casas têm fechaduras nas portas. Todos os sites deveriam ter certificados ssl. Deve-se apenas adequar o custo da fechadura ao valor a proteger.
    E depois há outro aspecto. Os certificados ssl apenas “protegem” o tráfego internet. Os sites continuam expostos a ataques de hackers, que podem expor bases de dados etc. É por isso que foram inventados serviços como o MBNET, que nunca se devem armazenar as passwords não cifradas, etc.
    Os certificados ssl são apenas uma pequena peça na engrenagem de uma web segura, mas quanto a mim são das coisas mais essenciais de implementar.

  14. pedro ferreira says:

    Morri com o comentario do cfpinto ” a internet nao é livre”…..

  15. pedro ferreira says:

    Cfpinto .. OBVIO que o user vai validar um certificado nao assinado por o facebook…..
    Nunca em situacao alguma foi tido em discução o que seria validado, falou-se de man in the middle e por palavras tuas que nao era possivel.. Afinal parece que é…. Aproveita e sê mais cordial nas tuas repostas ao utilizadores do forum e intruis o teu conhecimento mais um bocadinho. Nao é so mandar os outros fazer…
    Lição nao gratis, pq dado e arregaçado so ha uma coisa.

  16. Tiago says:

    Para quando o artigo com o tutorial de instalação deste tipo de certificados?

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.