Se o certificado SSL de um site for inválido ou não estiver disponível, os usuários poderão ver uma mensagem de erro ao tentar carregá-lo.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Ocasionalmente, os usuários podem ser impedidos de acessar um site por uma mensagem "Sua conexão não é privada". Esse erro significa que a conexão entre o cliente (o dispositivo do usuário, como um notebook ou tablet) e o servidor (o host do site) não está criptografada, mesmo que o dispositivo do cliente esperasse que ela fosse criptografada.
Como resultado, os invasores poderão ver o que o usuário faz no site – as mensagens entre o cliente e o servidor são enviadas em texto não criptografado, em vez de serem embaralhadas por meio de criptografia. Além disso, o cliente não consegue verificar se está conectado ao servidor correto.
É por isso que o navegador dirá "Sua conexão não é privada" ou "Sua conexão não é segura": ele não pode verificar o servidor web e não pode criptografar mensagens para impedir que invasores as leiam.
Este erro é causado por um problema com o certificado SSL do site – está faltando, ou expirou, ou não foi emitido por uma autoridade de certificação legítima, ou o cliente não pode acessá-lo por alguma outra razão. Os certificados SSL são necessários para apresentar sites em conexões seguras HTTPS.
Um certificado SSL inválido ou ausente é quase o equivalente criptográfico de um caixa em uma loja de esquina pedindo identificação a um homem para provar que ele tem idade suficiente para comprar álcool e, em vez de o homem apresentar um documento de identidade emitido pelo governo, ele retira um pedaço de papel em que alguém escreveu: "Este homem se chama Jeff e tem 22 anos". Isso, é claro, não é uma identificação legítima. O homem pode não ter de fato 22 anos e, nesse caso, o homem pode nem se chamar Jeff. O caixa tem o direito de responder com suspeita e terminar a transação por completo.
Assim como Jeff, um site sem um certificado SSL não pode provar sua identidade. Além disso, um site sem um certificado SSL não pode criptografar as comunicações – imagine se a falta de um documento de identidade de Jeff significasse que qualquer pessoa ao redor do mundo pudesse ouvir de repente a conversa entre Jeff e o caixa.
Muitas vezes, os usuários ainda podem continuar na página apesar desta mensagem, embora isso não seja recomendado. Sem HTTPS, muitos ataques cibernéticos são possíveis.
Um certificado SSL verifica a propriedade de um site e possibilita a abertura de uma conexão segura e criptografada. É um arquivo de texto instalado em um servidor web com informações como:
Um certificado SSL é necessário para criptografar as comunicações de e para um site usando criptografia SSL, ou TLS. Isso também é conhecido como HTTPS.
Se os dados são criptografados com TLS/SSL, quando alguém intercepta os dados indo e voltando entre cliente e servidor, parece um absurdo aleatório para eles. Se os dados não estiverem criptografados, alguém pode interceptar os dados e lê-los facilmente. A criptografia é como um envelope protegendo o conteúdo de uma carta pessoal enquanto ela passa pelo correio.
Vários problemas com o certificado SSL podem causar o erro "Sua conexão não é privada":
O certificado SSL do site não é válido ou está ausente. Esse pode ser o caso por vários motivos. Isso pode significar que o certificado SSL apresentado lista o site errado, que o certificado SSL expirou ou que não há nenhum certificado SSL quando era esperado – por exemplo, se um usuário digitar https://www.example. com em um navegador, example.com não tem HTTPS.
O certificado SSL não relaciona variações no nome de domínio. Por exemplo, o certificado SSL pode listar www.example.com, mas não example.com (sem o "www"). Isso acontece quando a seção nome alternativo do assunto (SAN) de um certificado SSL não é preenchida corretamente. Como resultado, o site tem um certificado SSL funcionando, mas há uma incompatibilidade entre o URL que o usuário digitou e o que está listado no certificado. O navegador, portanto, considera o certificado inválido.
O servidor web apresentou um certificado SSL para o site errado. Isso pode acontecer quando vários sites estão hospedados em um endereço de IP. Se cada um desses sites tiver seu próprio certificado SSL, o servidor pode não saber qual certificado SSL mostrar quando um dispositivo cliente tenta se conectar com segurança a um dos sites – assim como quando um pacote é enviado para um complexo de apartamentos, mas o número do apartamento não está incluído no endereço. Uma extensão do protocolo TLS chamada SNI ajuda a evitar esse erro.
Outras causas possíveis incluem:
No Chrome, esta mensagem aparece ao clicar em "Não seguro" na barra do navegador quando estiver em um site HTTP. Isso significa que o site não possui um certificado SSL e não usa SSL/TLS para criptografar o tráfego de e para o site. Normalmente, os navegadores não bloqueiam sites que não têm HTTPS, mas os usuários devem evitar inserir dados pessoais, como credenciais de login, dados de cartão de crédito ou números de documentos de identificação emitidos pelo governo, em sites que não sejam HTTPS.
A Cloudflare oferece criptografia SSL/TLS gratuita para qualquer site. Sites com criptografia TLS da Cloudflare não devem encontrar a maioria desses erros, embora dispositivos clientes configurados incorretamente ainda possam fazer com que eles apareçam ocasionalmente. Saiba mais sobre certificados SSL gratuitos da Cloudflare.