Porque não tornar o seu site seguro com HTTPS?
Nos dias que correm, é fundamental que todos os dados sensíveis, transacionados entre um cliente (ex. browser) e um servidor, sejam cifrados de modo a que estes não possam ser entendidos por terceiros.
No caso dos sites, a opção mais acertada são os certificados SSL. É verdade que o utilizador pode criar os seus próprios certificados… mas valerá a pena?
O que é o SSL?
O SSL é um protocolo criptográfico baseado em cifras assimétricas (chave privada + chave pública), que tem como principal objetivo fornecer a segurança e integridade dos dados transmitidos em redes inseguras, como é o caso da Internet.
Quando um utilizador acede a um site que recorre ao SSL, o servidor envia ao cliente a chave pública deste para que esta possa cifrar a informação que vai ser passada ao servidor. Quando o servidor recebe essa informação, usa a sua chave privada para decifrar a informação transmitida pelo cliente.
Existem várias utilizações para este protocolo, como por exemplo o comércio eletrónico, servidores Web, servidores FTP, etc. Para identificar facilmente se estão a visualizar um site seguro basta verificar no URL que em vez de estar o normal http:// se encontra https:// - Saiba mais aqui.
Certificado Digital
Um certificado é um documento digital que contém informação acerca de quem o possui, nome, morada, localidade, e-mail, duração do certificado, domínio associado (Common Name) e nome da entidade que assina o certificado. Contém ainda uma chave pública e um hash que permite verificar a integridade do próprio certificado (i.e se um certificado foi alterado). Um certificado assenta numa estrutura hierárquica de confiança, cujo topo é pertença de uma Entidade Certificadora (CA Root Certificate).
Esta entidade certificadora confirma que o possuidor do certificado é quem afirma ser, e assina o certificado, impossibilitando desta forma a sua modificação. Em Portugal, a PTisp é um player de referência, sendo Gold Partner da GlobalSign e tendo sob sua gestão milhares de certificados SSL.
Google de olho em sites não HTTPS
Não é de agora que a Google tem alertado os responsáveis por sites para que estes apenas disponibilizem sites via HTTPS. Além disso, a partir do Chrome 62, a empresa das pesquisas vai começar a “marcar” sites que usem elementos para introdução de dados e que não usem HTTPS como sites não seguros, incluindo no modo Incógnito.
Nesse sentido, se o seu site não usa HTTPS, então é melhor adquirir um certificado SSL. É verdade que podem sempre criar os vossos certificados SSL, mas estes não são reconhecidos pelos browsers.
Quanto custa um certificado SSL?
O custo dos certificados variada de acordo com as “funcionalidades” que este oferece. Por exemplo, na PTISP, um certificado de domínio custa cerca de 16.0€ por ano e um WildCard (domínio e sub-domínios) custa cerca de 40,00€ por ano, sendo a sua ativação rápida, com uma chave de 2048 bits, Selo de Segurança e até tem garantia. Há também certificados SSL com características adicionais - Extended Validation / EV SSL, com validação legal de empresa ou organização que solicita sua emissão, garantindo assim maior segurança ao cliente final.
O SSL é um requisito obrigatório em sites que implementem funcionalidades de autenticação ou introdução de dados sensíveis. Caso o seu site não tenha configurado nenhum certificado SSL, de uma entidade credível, este não oferece nenhuma garantia ao utilizador que é seguro, podendo ser até clonado e usado para esquemas de phishing.
Além disso, os sites sem SSL estão vulneráveis a ataques Man-In-The-Middle, podendo os atacantes obter os dados pessoais dos utilizadores.
Como utilizadores, é importante que verifiquem se um site possui SSL (HTTPS) e se os certificados usados foram criados por uma entidade certificadora credível. Num próximo artigo vamos ensinar a instalar este tipo de certificados digitais.
Este artigo tem mais de um ano
Proponha uma correção, faça uma sugestão
Loading ...
Não percebi nada do que escreveu. Que é isso de cifra e chaves e … isso serve pra que ?
Zinco penso que está bem explícito.
Para ter um site em HTTPS necessita de ter um certificado SSL. É tão simples quanto isso.
Querias dizer HTTPs ?
Por outras palavras pode ser que o Zinco entenda melhor ”
https://en.wikipedia.org/wiki/Encryption#/media/File:Public_key_encryption_keys.png
https://pt.wikipedia.org/wiki/Encripta%C3%A7%C3%A3o
Para poderes entender melhor precisas de perceber o mínimo de Web Development. Mas para o utilizador comum não interessa saber isso. Mas de qualquer forma a informação no artigo é bem clara e simples de entender. Lê o artigo com atenção que vais compreender, se tiveres qualquer tipo de dúvida em relação a algo especifico podes usar o Google e se mesmo assim tiveres dificuldades a compreender ou a informação que encontrares for muito complexa, acho que aqui deverá sempre haver alguém com vontade de ajudar. Eu infelizmente não vejo respostas a comentários meus e nem costumo vir mais de uma vez aos comentários de um artigo, mas para ser sincero, o artigo chega muito bem para compreenderes todo o assunto, quer sejas um curioso ou um rookie em Web Development.
De forma a enriquecer o artigo, deixo o seguinte link onde é elucidada as diferenças entre http e https – https://www.httpvshttps.com/
Quem não quiser gastar dinheiro em certiticado use letsencrypt que é de borla 🙂
Já usei letsencrypt e faz o que é pedido sem problemas. Os certificados pagos dão alguma segurança adicional, mas para a maioria dos sites serve perfeitamente. Até a tsf.pt usa letsencrypt…
Para isso e necessario ter accesso a linha de comandos do servidor e ‘unhas’, nao e clicar no botao para instalar
O cert-bot automatiza a criação do certificado do letsencrypt, por isso a parte do tamanho das unhacas que tens que ter para por aquilo a correr “relativa”.
https://certbot.eff.org/.
E se por acaso não tens acesso à linha de comandos, mas apenas a um painel webadmin, também é possivel instalar.
Podes criar os certificados fora do servidor, criar as directorias para colocar o ficheiro que prova que es dono (ou tens privilegios) do servidor. Claro que esta opção é chata, mais chata que fazer por linha de comandos.
A terceira opção usar um web hoster que suporte letsencrypt; https://community.letsencrypt.org/t/web-hosting-who-support-lets-encrypt/6920
“linha de comandos”. wat?
qualquer certificado pago ou não é preciso ser instalado. em IIS não é necessário “linha de comandos”.
Tens razão Paulo, mas é daquelas coisas em que se tem o que se paga. Quanto às unhas é mais ou menos relativo. Sou um autodidata nestas coisas e confesso que não foi à primeira que consegui instalar o primeiro certificado. Mas tal como o Gekko disse existem scripts de automatização e tutoriais no google e em +-30min já tinha tudo a funcionar. A parte engraçada foi 3h depois quando me apercebi que me tinha esquecido de fazer os redirects do http://dominio.com para https://www.dominio.com … (não limpei a cache e parecia que estava tudo ok)
uma forma para gerar mais receitas sem qualquer dúvida, discriminando muitos sites pelo caminho…
Google dona de tudo e todos….
Quando não se sabe o que se diz mais vale estar calado. Os browsers deviam era simplesmente bloquear sites não SSL
e partias praticamente mais de metade da internet.
boa zé.
Mas é o que irá acontecer mais cedo ou mais tarde, isso já foi falado em mais de um evento tecnológico a que fui. E claro que faz todo o sentido, e já existem alguns serviços de hosting que já incluem o certificado SSL, mas claro que não são os mais baratos, mas como todos sabemos, o barato sai caro, e as empresas têm de oferecer uma boa experiência web aos seus clientes para se poderem destacar (ou no mínimo equiparar) aos seus mais directos concorrentes.
E os serviços internos? e serviços legacy? acesso a equipamentos internos?
tu para um serviço interno (acesso web ao router de casa) vais ter que pagar um certificado? olha pensa bem.
completamente sem nexo. O ssl, previne como obvio o transporte, contudo a proteção foi pensada na altura que usavamos HUBS. Actualmente com o hardware que existe e estarmos 90% do tempo atras de um switch é quase inegavel que o ssl na camada de transporte nao tem assim tanta importancia. Se for capaz de me meter no meio, um ataque MITM torna o ssl obsoleto.
Limitar ao SSL nao tem nexo, nao usar ssl tmb n tem nexo.
Certificados … pq razao aparece que um certificado pode nao ser valido ? pq nao se pagou …. é um bussiness como qq outro.
Pedro Ferreira. O protocolo HTTPs é tier to tier. A chave public esta no browser (ou computador) e a privada no servidor (ou load balancer) por isso a menos que te infiltres num destes tiers não consegues ver o conteudo enviado, MITM torna-se inutil porque é so conteudo encriptado. Quanto ao facto dos certificados terem que ser emitidos por uma entidade certificada tem unica e exclusivamente a ver com o facto que os browsers nao devem confiar em todos os certificados, caso contrario estavamos sempre sujeitos a ataques MITM
int3 – Servicos legacy esta na hora de actualizar ou deixar de usar nao? Servicos internos crias o teu proprio certificado e instalas em todos os clientes. Problema resolvido.
E para ser sincero nao se perdia muito. Qualquer site que não esta por tras de um certificado SSL ou existe para te enganar ou os donos não querem saber. De qualquer das formas mais vale serem bloqueados. Vai a este site https://haveibeenpwned.com/ para ver a consequencia de “metade da internet” (e não só)
mitm é o ataque…
podes perceber o conceito aqui
https://pplware.sapo.pt/internet/http-e-https-descubra-as-diferencas/
mitm é o ataque…
podes perceber o conceito aqui
https://pplware.sapo.pt/internet/http-e-https-descubra-as-diferencas/
https://www.youtube.com/watch?v=WglJdxqeDrk
Eu sei o que é MITM. E desde TLS1.2 que é absolutamente inútil. Só interceptas tráfego encriptado que mais uma vez inútil. A não ser que uses seviços como o hotmail que até jun de 2016 permitia ssl strip. Mas a maior parte dos sites https de hj usa o header “force tls” (HSTS) que previne SSL Strip
a ver se me faço entender..
USER MITM FACEBOOK
USER acede ao facebook,
MITM vai servir a pagina do facebook ao USER e negoceia ele a chave com o proprio facebook,
. o USER negoceia a chave com o MITM , portanto o MITM apanha toda a comumicao.
Parece me que assim toda a comunicacao do USER é decifrada.
a ver se me faço entender..
USER MITM FACEBOOK
USER acede ao facebook,
MITM vai servir a pagina do facebook ao USER e negoceia ele a chave com o proprio facebook,
. o USER negoceia a chave com o MITM , portanto o MITM apanha toda a comumicao.
Parece me que assim toda a comunicacao do USER é decifrada.
Só mais esta liçāo grátis e depois tens q pagar pelas próximas. Na tua explicação o utilizador ia ver um certificado invalido. Visto que o MITM não tem a chave privada do Facebook, das duas uma ou está a negociar um certificado pra um domínio diferente ou self signed. De qualquer das formas inválido, o utilizador só é enganado se quiser.
+1
Hmmm…. Boa explicação sobre seja lá o que for que queiras dizer com isso.
Descriminar sites? Como? Porquê?
O que é que a google tem a ver com os certificados SSL ou os serviços de webhosting de terceiros?
A Google é dona de tudo e de todos porquê? Até porque quase toda a gente usa Webhosting de muitas outras empresas. Claramente ou não sabes o que dizes ou sabes alguma coisa que mais ninguém sabe. LOL
Não fazes mesmo ideia do que estás a falar.
“The Heartbleed bug” custou 500E em certificados, letsencrypt tk for info.
SSL é o protocolo anterior, agora chama-se TLS… engraçado nem ser mencionado no artigo.
Sim, é um update
Por favor corrija, última linha:
”
a instalar a instalar”
Obrigado pelo artigo, cumprimentos
uma sugestão, podiam ter completado o tema falando um pouco sobre os as diferencaos DV, OV e EV…
Desculpem, mas penso já ter visto um artigo sobre “como criar o próprio negócio online”. Alguém sabe se houve, ou foi impressão minha? Obrigado
Acho um erro os motores de busca penalizarem websites não https, nem todos precisam de um certificado de segurança.
Tem algum sentido esta noticia?
https://www.techspot.com/news/72185-more-phishing-websites-using-https-appear-legitimate.html
Têm, como o Redin bem sabe, ou deveria saber.
Quem tenta obter dados ilegitimamente têm todas as maneiras de obter certificados digitais, até sem pagar nada, mas mesmo que tivessem de pagar a maior parte já furtou dinheiro suficiente para abrir empresas fantasma em nome de algum sem abrigo e obter até certificados Extended Validation, por isso no que diz respeito a certificados não têm nada haver com a confiança, mas sim com identificação do local na Internet a que se está ligado… depois cabe à pessoa analisar o certificado e decidir o quanto quer depositar confiança nesse web site com base em outras informações que já dispõem.
A maioria das pessoas contudo não analisa os certificados de todo, por isso até o Let’s encrypt pode ser utilizado para enganar as pessoas, mas não tenham dúvidas, até se consegue obter certificados EV, é tudo uma questão de conseguir enganar a pessoa que a empresa anterior mudou de nome e que agora é aquele o novo nome e pronto, se uma em cada 20 mil pessoas cair, o lucro poderá ser enorme…. assim como a viagem para o inferno garantida… mas com isso só têm de se preocupar depois de morrerem.
Ora nem mais… Um site ter HTTPs ou não o torna por si só mais seguro.
Os hackers tem sucesso nos seus esquemas, porque são bem feitos… Por isso, se para isso é preciso gastarem 100€ por um certificado, gastam. O retorno de certeza compensará esse investimento.
Alem disso, sou vejo verdadeira vantagem para as empresas emissoras de certificados, que vão aumentar a sua receita. Até mesmo a própria Google, após ter adquirido uma empresa de certificados.
E depois, que mais valia tem uma empresa com apenas um site informativo e com os seus contactos, visto que não vende nada online e o site será apenas para apresentar o seus serviços, não recolhendo qualquer informação delicada dos utilizadores?
Nenhuma mais valia… apenas serve para gastar dinheiro…
Vê aqui https://www.troyhunt.com/dont-take-security-advice-from-seo-experts-or-psychics-neil-patel/ a importância de https mesmo quando não vendes nada no teu site. Educa-te antes de dizeres barbaridades
Sim… pois… como sites com https nunca tenham tido problemas.
Alem disso ao banalizar-se os certificados, eles deixam de ter o valor que tinham.
Por outro lado, criar essa obrigatoriedade, pode criar o risco de a Internet deixar de ser livre.
Não sou contra o https, apenas acho exagerado, querer-se que o mesmo seja aplicado em todos os cenários.
É como falar para uma parede… Claro que sites em https tem problemas, mas sao diferentes, normalmente ligados a vulnerabilidades no software ou na cabeça dos programadores.
Banalizar os certificados não retira valor aos mesmos, não sei que ideia parva é essa, os certificados vão continuar a fazer exactamente o mesmo. Pelo contrario, torna a web um bocadinho mais segura, obvio que as pessoas não podem assumir que só porque tem um cadeado verde ta tudo bem.
A internet não é livre, alguem tem que pagar a ligação, os servidores etc, sejas tu, a tua mãe ou o dono da pastelaria da esquina. Não há almoços gratis. E quem paga a conta manda. Até redes como a Tor tem un certo nivel de moderação ve la tu
Peço desculpa… talvez não me tenha feito entender.
Falha certamente minha…
Qualquer das formas, chegas-te um pouco ao ponto onde do que eu queria dizer. A banalização dos certificados, vai criar essa ideia de “mais segurança”, quando ela na realidade não será tanto assim…
O problema esta nesse mesmo, das pessoas assumirem que é seguro por ter cadeado verde. Vai baixar os níveis de alerta dos utilizadores, porque passam a confiar mais num simples cadeado verde…
Mas, pronto… sou uma parede difícil de se exprimir…
Porque razão muitos web sites não usam ainda a ligação cifrada? Porque os fornecedores de alojamento querem cobrar ainda um dinheirão por certificados e em muitos casos exigem que a pessoa tenha um endereço IP dedicado… parece que nunca ouviram falar em certificado digitais SNI… é muito complicado para eles… porque eles querem maximizar os lucros como é óbvio.
E esqueçam o Let’s Encrypt, muitas empresas de alojamento recusam-se a utilizar tal sistema, porque lá se ia a sua margem de lucro maravilhosa nos certificados digitais. Para certificados digitais que verificam os dados das organizações/ empresas ainda compreendia, tem de pagar a alguém para os verificar, agora só para validar endereços de Internet é mesmo só pelo lucro que querem fazer que não aceitam o gratuito Let’s Encrypt.
Bom, parece que só podemos confiar em certificados criados por empresas…
…certificadas.
Basicamente é isso. Pelo menos tens uma “garantia”
Confesso que tenho alguma dificuldade em compreender muitos dos comentários a este artigo.
O artigo apenas sugere em tornar os nossos sites mais seguros com uma cifragem dos dados introduzidos nesses mesmos sites.
A cifragem em si mesma não garante que as intenções do criador do site sejam honestas, apenas garante que não seja tão fácil observar/interceptar os nossos dados em redes públicas (por exemplo).
Para mim o melhor paralelismo dos sites https é imaginar que um certificado ssl é como a fechadura da porta de entrada das nossas casas. Se não existir, qualquer palerma pode simplesmente entrar dentro das nossas casas e dar uma espreitadela. Os nossos valores (leia-se passwords das contas email, n.º cartões crédito, etc.) ficam sujeitos à boa vontade de cada um.
Já com uma fechadura, 99.999% das pessoas nem pensam entrar pois a coisa dá mais trabalho e a maioria das pessoas não é desonesta.
Claro que existem fechaduras de todos os tipos e feitios (EV/OV/DV ssl), mas digamos que para um servidor de email ou um banco se usam os modelos mais caros e para um anexo para arrumar lenha qualquer coisa serve.
Também é claro para todos todos os dias são assaltadas casas, que até os bancos são assaltados, e que a loja de um aldrabão também tem uma fechadura.
Por isso julgo que não vale a pena tanta exaltação. Todas as casas têm fechaduras nas portas. Todos os sites deveriam ter certificados ssl. Deve-se apenas adequar o custo da fechadura ao valor a proteger.
E depois há outro aspecto. Os certificados ssl apenas “protegem” o tráfego internet. Os sites continuam expostos a ataques de hackers, que podem expor bases de dados etc. É por isso que foram inventados serviços como o MBNET, que nunca se devem armazenar as passwords não cifradas, etc.
Os certificados ssl são apenas uma pequena peça na engrenagem de uma web segura, mas quanto a mim são das coisas mais essenciais de implementar.
Morri com o comentario do cfpinto ” a internet nao é livre”…..
Cfpinto .. OBVIO que o user vai validar um certificado nao assinado por o facebook…..
Nunca em situacao alguma foi tido em discução o que seria validado, falou-se de man in the middle e por palavras tuas que nao era possivel.. Afinal parece que é…. Aproveita e sê mais cordial nas tuas repostas ao utilizadores do forum e intruis o teu conhecimento mais um bocadinho. Nao é so mandar os outros fazer…
Lição nao gratis, pq dado e arregaçado so ha uma coisa.
Para quando o artigo com o tutorial de instalação deste tipo de certificados?