O que significa "Sua conexão não é privada"? | Como corrigir erros de SSL

Se o certificado SSL de um site for inválido ou não estiver disponível, os usuários poderão ver uma mensagem de erro ao tentar carregá-lo.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Saber o que significam as mensagens de erro "Sua conexão não é privada/segura" em um navegador
  • Entender como problemas com um certificado SSL podem causar esses erros
  • Saber como corrigir esses erros

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

Aumente a segurança e a confiança usando o SSL / TLS gratuito da Cloudflare

O que significa o erro "Sua conexão não é privada"?

Ocasionalmente, os usuários podem ser impedidos de acessar um site por uma mensagem "Sua conexão não é privada". Esse erro significa que a conexão entre o cliente (o dispositivo do usuário, como um notebook ou tablet) e o servidor (o host do site) não está criptografada, mesmo que o dispositivo do cliente esperasse que ela fosse criptografada.

Conexão não privada

Como resultado, os invasores poderão ver o que o usuário faz no site – as mensagens entre o cliente e o servidor são enviadas em texto não criptografado, em vez de serem embaralhadas por meio de criptografia. Além disso, o cliente não consegue verificar se está conectado ao servidor correto.

É por isso que o navegador dirá "Sua conexão não é privada" ou "Sua conexão não é segura": ele não pode verificar o servidor web e não pode criptografar mensagens para impedir que invasores as leiam.

Este erro é causado por um problema com o certificado SSL do site – está faltando, ou expirou, ou não foi emitido por uma autoridade de certificação legítima, ou o cliente não pode acessá-lo por alguma outra razão. Os certificados SSL são necessários para apresentar sites em conexões seguras HTTPS.

Um certificado SSL inválido ou ausente é quase o equivalente criptográfico de um caixa em uma loja de esquina pedindo identificação a um homem para provar que ele tem idade suficiente para comprar álcool e, em vez de o homem apresentar um documento de identidade emitido pelo governo, ele retira um pedaço de papel em que alguém escreveu: "Este homem se chama Jeff e tem 22 anos". Isso, é claro, não é uma identificação legítima. O homem pode não ter de fato 22 anos e, nesse caso, o homem pode nem se chamar Jeff. O caixa tem o direito de responder com suspeita e terminar a transação por completo.

Assim como Jeff, um site sem um certificado SSL não pode provar sua identidade. Além disso, um site sem um certificado SSL não pode criptografar as comunicações – imagine se a falta de um documento de identidade de Jeff significasse que qualquer pessoa ao redor do mundo pudesse ouvir de repente a conversa entre Jeff e o caixa.

  • No Google Chrome, a mensagem de erro é: "Sua conexão não é privada", seguida por "Invasores podem estar tentando roubar suas informações do [site]"
  • No Mozilla Firefox, é: "Sua conexão não é segura"
  • No Microsoft Edge, também é "Sua conexão não é segura"

Muitas vezes, os usuários ainda podem continuar na página apesar desta mensagem, embora isso não seja recomendado. Sem HTTPS, muitos ataques cibernéticos são possíveis.

O que é certificado SSL? O que é HTTPS?

Um certificado SSL verifica a propriedade de um site e possibilita a abertura de uma conexão segura e criptografada. É um arquivo de texto instalado em um servidor web com informações como:

  • Data de validade do certificado
  • O nome de domínio para o qual o certificado foi emitido
  • Qual pessoa, organização ou dispositivo possui o domínio
  • A autoridade de certificação que emitiu o certificado
  • A chave pública

Um certificado SSL é necessário para criptografar as comunicações de e para um site usando criptografia SSL, ou TLS. Isso também é conhecido como HTTPS.

Se os dados são criptografados com TLS/SSL, quando alguém intercepta os dados indo e voltando entre cliente e servidor, parece um absurdo aleatório para eles. Se os dados não estiverem criptografados, alguém pode interceptar os dados e lê-los facilmente. A criptografia é como um envelope protegendo o conteúdo de uma carta pessoal enquanto ela passa pelo correio.

O que causa esse erro SSL?

Vários problemas com o certificado SSL podem causar o erro "Sua conexão não é privada":

O certificado SSL do site não é válido ou está ausente. Esse pode ser o caso por vários motivos. Isso pode significar que o certificado SSL apresentado lista o site errado, que o certificado SSL expirou ou que não há nenhum certificado SSL quando era esperado – por exemplo, se um usuário digitar https://www.example. com em um navegador, example.com não tem HTTPS.

O certificado SSL não relaciona variações no nome de domínio. Por exemplo, o certificado SSL pode listar www.example.com, mas não example.com (sem o "www"). Isso acontece quando a seção nome alternativo do assunto (SAN) de um certificado SSL não é preenchida corretamente. Como resultado, o site tem um certificado SSL funcionando, mas há uma incompatibilidade entre o URL que o usuário digitou e o que está listado no certificado. O navegador, portanto, considera o certificado inválido.

O servidor web apresentou um certificado SSL para o site errado. Isso pode acontecer quando vários sites estão hospedados em um endereço de IP. Se cada um desses sites tiver seu próprio certificado SSL, o servidor pode não saber qual certificado SSL mostrar quando um dispositivo cliente tenta se conectar com segurança a um dos sites – assim como quando um pacote é enviado para um complexo de apartamentos, mas o número do apartamento não está incluído no endereço. Uma extensão do protocolo TLS chamada SNI ajuda a evitar esse erro.

Outras causas possíveis incluem:

  • O certificado é auto-assinado, o que significa que foi gerado pelo operador do site em vez de uma autoridade de certificação de terceiros
  • O navegador não reconhece a autoridade de certificação que emitiu o certificado
  • A Symantec emitiu o certificado SSL (todos os certificados SSL emitidos pela Symantec não são confiável pelos principais navegadores)
  • O certificado SSL pode ter recursos não compatíveis (como usar hashing SHA-1 em vez de SHA-256)
  • O relógio do dispositivo cliente é impreciso e, consequentemente, não é capaz de verificar se o certificado SSL expirou ou não

Como corrigir erros do tipo "Sua conexão não é privada"

Para os usuários

  1. Atualizar a página: as conexões de rede envolvem muita comunicação entre cliente e servidor que na maioria das vezes passa despercebida pelo usuário. Qualquer número dessas comunicações pode não funcionar corretamente. Por esse motivo, vários erros podem ser resolvidos tentando novamente e recarregando a página.
  2. Limpar o cache do navegador: um navegador armazena algumas informações e conteúdo de sites que os usuários já visitaram em um local de armazenamento temporário conhecido como "cache." Limpar o cache do navegador e tentar recarregar a página pode ter um efeito semelhante ao da atualização da página: o site fica limpo da perspectiva do navegador e ele pode tentar fazer as conexões apropriadas novamente. Como alternativa, os usuários também podem abrir a página no modo de navegação anônima (Chrome), modo privado (Firefox e Safari) ou modo InPrivate (Edge); nesses modos o navegador não acessa o cache.
  3. Redefinir o relógio: os usuários também podem tentar redefinir o relógio do computador, o que pode ser impreciso, fazendo com que o dispositivo rejeite incorretamente um certificado SSL como expirado ou inválido.
  4. Adicionar "www": para contornar erros de SAN, os usuários podem tentar redigitar o nome do domínio incluindo "www" (ou qualquer que seja o prefixo do domínio).
  5. Usar um navegador diferente ou atualizar o navegador: versões antigas de navegadores podem não suportar os recursos necessários para criptografia TLS (como SNI). Certifique-se de usar as versões mais recentes dos navegadores.

Para proprietários de sites

  1. Obter um novo certificado SSL: se o certificado estiver expirado, desatualizado ou autoassinado, um site precisará obter um novo de uma autoridade de certificação. (A Cloudflare oferece certificados SSL gratuitos, além de certificados personalizados para clientes corporativos).
  2. Garantir que o SAN esteja preenchido e que os subdomínios estejam incluídos: se o certificado SSL for válido, certifique-se de que todas as variações legítimas do domínio estejam listadas. Além disso, os subdomínios – blog.example.com, além de www.example.com – devem ser listados.
  3. Se um site não tiver HTTPS, garantir que todos os backlinks sejam apenas HTTP: se um usuário inadvertidamente tentar carregar um URL por HTTPS quando o site usa apenas HTTP, ele pode receber esse erro, porque o navegador tentou obter o certificado SSL do site quando não existe um. Além de corrigir backlinks, um site deve configurar redirecionamentos para HTTP caso alguém tente carregá-lo por HTTPS. Além disso, é altamente recomendável que esses sites obtenham certificados SSL.

O que significa "Sua conexão com este site não é segura"?

No Chrome, esta mensagem aparece ao clicar em "Não seguro" na barra do navegador quando estiver em um site HTTP. Isso significa que o site não possui um certificado SSL e não usa SSL/TLS para criptografar o tráfego de e para o site. Normalmente, os navegadores não bloqueiam sites que não têm HTTPS, mas os usuários devem evitar inserir dados pessoais, como credenciais de login, dados de cartão de crédito ou números de documentos de identificação emitidos pelo governo, em sites que não sejam HTTPS.

Como a Cloudflare ajuda a evitar esses tipos de erros?

A Cloudflare oferece criptografia SSL/TLS gratuita para qualquer site. Sites com criptografia TLS da Cloudflare não devem encontrar a maioria desses erros, embora dispositivos clientes configurados incorretamente ainda possam fazer com que eles apareçam ocasionalmente. Saiba mais sobre certificados SSL gratuitos da Cloudflare.