Se o certificado SSL de um site estiver expirado ou incorreto, os usuários da web podem ser dissuadidos de carregar o site.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
O Secure Sockets Layer (SSL) é um protocolo para criptografar e autenticar dados que trafegam entre clientes e servidores na internet. A versão atualizada do protocolo é chamada de Transport Layer Security (TLS).
O SSL/ TLS depende do uso de um certificado SSL, que é um arquivo de dados hospedado em um servidor web que ajuda a criptografar o tráfego e a verificar a identidade do servidor. O servidor e o cliente (o dispositivo usado por uma pessoa para tentar acessar o site hospedado no servidor) usam o certificado SSL para estabelecer chaves de criptografia simétrica e iniciar uma transmissão segura e criptografada, tudo isso em questão de milissegundos. Criptografar a passagem de dados entre usuários e servidores ajuda a evitar comprometimentos de dados, permitindo que os sites mantenham a confiança do usuário e atendam aos requisitos de conformidade.
Problemas de certificados SSL/TLS podem impedir que os usuários carreguem e acessem sites e aplicativos com segurança. Abaixo estão alguns dos erros comuns de certificado SSL (ou erros de TLS) que os usuários e administradores de sites podem encontrar.
A maioria dos certificados SSL é emitida e assinada por uma organização externa chamada autoridade de certificação. Os certificados autoassinados geralmente não são confiáveis para os navegadores, pois nenhuma autoridade externa verificou o certificado. Uma autoridade de certificação também pode não ser reconhecida pelo navegador por algum outro motivo: os certificados SSL emitidos pela Symantec, por exemplo,não são mais confiáveis pelos principais navegadores. Este erro de certificado SSL pode resultar em uma mensagem "Sua conexão não é privada" no navegador, o que pode evitar que os usuários visitem o site.
Obter um certificado SSL de uma autoridade de certificação com maior compatibilidade pode corrigir esse erro. (a Cloudflare, por exemplo, oferece gratuitamente certificados SSL que são confiáveis para todos os navegadores).
A comunidade da internet atualizou o protocolo SSL/TLS muitas vezes ao longo dos anos para corrigir vulnerabilidades e tornar o processo de autenticação mais rápido, a mudança de nome de SSL para TLS reflete isso.
Muitos serviços web começaram a impor o uso dos protocolos mais recentes. A versão mais atual e mais amplamente utilizada do TLS é a TLS 1.3, com a TLS 1.2 também permanecendo em uso.
Para hosts da web e sites configurados para aceitar apenas os protocolos mais seguros, os clientes devem ser compatíveis com TLS 1.2, no mínimo, caso contrário, o handshake TLS não poderá ocorrer conforme planejado. (O erro "ocorreu um erro fatal ao criar uma credencial de cliente TLS " pode ser observado em tais casos). O usuário deve se certificar de que o navegador e o sistema operacional do seu dispositivo sejam compatíveis com as versões mais recentes e seguras do TLS para evitar esse erro de certificado SSL.
Assim como alguns documentos de identificação emitidos pelo governo, como passaportes, expiram após um certo número de anos, os certificados SSL precisam ser renovados periodicamente. Isso ajuda a garantir que a mesma entidade ainda opere o serviço web em questão, assim como a atualização da foto de passaporte de uma pessoa ajuda a confirmar a identidade. Um certificado SSL expirado não será confiável para o navegador web de um cliente, portanto o handshake TLS não pode prosseguir e nenhuma conexão segura pode ser estabelecida.
Para corrigir esse problema de SSL, os administradores da web precisam garantir que seus certificados SSL estejam todos atualizados para seus domínios e subdomínios.
Este erro também pode ocorrer se o relógio do cliente estiver incorreto: nesse caso, o navegador do cliente pode não ser capaz de saber se o certificado SSL expirou. Redefinir o relógio no dispositivo cliente corrige o erro nesses casos.
Um erro de incompatibilidade de nome ocorre quando o nome no certificado SSL não corresponde ao URL inserido pelo cliente. Isso pode acontecer se o usuário tiver inserido um domínio de nível superior diferente do esperado, digitado "www" quando esse nome não está listado no certificado ou digitado o domínio incorretamente de alguma outra forma. Uma incompatibilidade de nomes também pode ocorrer se o operador do site tiver rotulado incorretamente seu certificado ou não incluir todos os nomes voltados para o público de seu domínio. Por fim, um erro de incompatibilidade de nome comum pode ocorrer quando o cliente ou o servidor não são compatíveis com a extensão SNI (mais sobre isso abaixo).
Para evitar esse erro, os administradores de sites devem certificar-se de que estão digitando o domínio corretamente em seus certificados SSL. Além disso, a seção Nome alternativo de assunto (SAN) do certificado SSL deve listar todas as apresentações alternativas legítimas do nome de domínio.
A Indicação de nome do servidor (SNI) é uma extensão do protocolo TLS para uso quando vários domínios estão hospedados em um servidor. Quando um cliente inicia uma conexão, ele está se conectando diretamente a um servidor (indicado por um endereço de IP). Esse servidor pode hospedar vários sites, como um prédio de apartamentos em que vivem vários moradores.
SNI é uma extensão que, para continuar a analogia, coloca um número de apartamento no endereço para que o servidor saiba para qual site, ou "apartamento", direcionar a solicitação de uma conexão SSL. Mas se a solicitação para o servidor não usar SNI, o servidor pode mostrar o certificado SSL errado para clientes que iniciam uma conexão, resultando em um erro de incompatibilidade de nome comum.
Para evitar esse erro, os administradores de sites devem usar hosts da web que sejam compatíveis com os protocolos TLS mais recentes, incluindo SNI (e SNI criptografado).
A Cloudflare ajuda os operadores de sites a evitar esses erros gerenciando e renovando automaticamente os certificados de todos os sites de clientes. Garantir que os certificados não expirem pode ser um trabalho de tempo integral quando as organizações têm dezenas, centenas ou milhões de subdomínios para gerenciar. Mas a Cloudflare automatiza esse processo.
Saiba mais sobre as opções de certificados SSL da Cloudflare na página de Planos.