Chrome e Firefox começam a marcar sites HTTP como Não Seguros

Com o lançamento da versão 56 do Google Chrome e da versão 51 do Firefox, os sites HTTP começaram a ser marcados como “Não Seguros” sempre que nos mesmos seja solicitada informação pessoal, como senhas ou cartões de crédito.

Ou seja, se o acesso ao seu site ainda é feito via HTTP (exemplo: http://www.site.pt), nas páginas onde requer que os utilizadores insiram informação pessoal, os utilizadores vão passar a ver:

chrome-nao-seguro
no Google Chrome
example-dot-com-control-center-600x417
no Firefox

Com esta medida, a Google e a Mozilla pretendem acelerar a adopção do HTTPS, um protocolo que oferece uma maior garantia de segurança.

Para implementar HTTPS deve contactar a empresa que aloja o seu site e/ou o técnico que desenvolveu o mesmo para saber quais as alterações necessárias. Lembro que é necessário que todas as chamas no código passem a ser efectuadas via HTTPS para que não apareçam erros de “mix content”.

Na maioria dos casos será bastante simples fazer a alteração e alguns planos de alojamento incluem certificado SSL (necessita um certificado SSL para implementar o acesso via HTTPS). Em Nuvens.pt oferecemos um certificado SSL grátis em todos os nossos planos de alojamento.

Caso tenha alguma dúvida sobre o seu site pode sempre contactar-nos. Se quer saber mais HTTPS e os diferentes tipos de certificados SSL visite: Certificados SSL Grátis para todos!

Certificados SSL Grátis para todos!

A partir de hoje todas as contas de alojamento em Nuvens.pt têm certificados SSL gratuitos incluídos. Isto significa que pode passar a utilizar o seu site via HTTPS sem que tenha de pagar um certificado ou efectuar qualquer alteração.

Estes certificados automáticos são emitidos numa parceria cPanel/Comodo e já se encontram em funcionamento. Experimente aceder ao seu site utilizando https://

Importante:

  • Para que o certificado seja 100% válido todas as ligações no código do seu site devem ser estabelecidas por https. Ou seja, ficheiros de imagens, CSS, JavaScript, etc. devem ser chamados no código utilizando https:// ou erros irão aparecer na validação do certificado.
  • Os certificado SSL sem IP dedicado utilizam SNI e não são compativeis com browsers e sistemas operativos mais antigos. Os casos mais problemáticos são o Windows XP e as primeiras versões de Android. Para evitar este problema pode comprar um IP dedicado (preço Nuvens.pt €1/mês +IVA).

Lembro que esta funcionalidade está activa mas pode continuar a aceder ao seu site via http:// e este funcionará como sempre.

Se não tem uma conta de alojamento em Nuvens.pt

Pode sempre alojar o seu site connosco 🙂 ou poderá utilizar o Let’s Encrypt para obter um certificado gratuito. Se a empresa que presta o serviço de alojamento não oferecer qualquer ferramenta para criação de certificados da Let’s Encrypt, talvez o mais simples será utilizar este site. Atenção que estes certificados têm a duração de 90 dias e terá de efectuar renovações dos mesmos.

 

Ligações HTTPS vs HTTP

Quando fazemos uma ligação a um site utilizando o protocolo HTTPS estamos a fazer uma ligação encriptada. Isso significa que mesmo que alguém intercepte a nossa comunicação, os dados transmitidos nela são teoricamente impossíveis de ler. Por essa razão sempre que inserimos dados pessoais (nome, morada, telefone) ou dados de acesso a contas (nomes de utilizador, passwords) devemos ter em atenção que o estamos a fazer via HTTPS. Por norma, vemos um cadeado junto ao endereço que nos estamos a ligar.

ff.pngchrome.pngsafari.png

As ligações HTTP não são encriptadas. O que significa que se alguém conseguir interceptar a ligação poderá ver toda informação da comunicação. Seja de si para o site/servidor ou no sentido inverso.

Tipos de Certificados

Em linhas gerais existem 4 tipos de certificados:

  1. Sem Validação
  2. Validação de Domínio – DV
  3. Validação de Organização (Empresa/Pessoa) – OV
  4. Validação “Extendida” (Extended) – EV

Sem Validação

Screen Shot 2016-11-03 at 17.20.25.png

Estes são aqueles que oferecemos e que oferecem uma ligação encriptada entre o servidor/site e o browser/utilizador. Por norma são grautitos

Validação de Domínio

n.png

Para além de oferecerem a ligação encriptada, são validados via email. Preço: desde 15€/ano por domínio.

Validação de Organização (Empresa/Pessoa)

Screen Shot 2016-11-03 at 17.21.05.png

Também oferecem uma ligação encriptada mas validam a organização (empresa/pessoa) que é detentora do mesmo. É necessário o envio documentação para a autenticação. Neste caso a informação da organização é incluida no certificado e ao clicar no cadeado essa informação é mostrada ao utilizador. Preço: desde 50€/ano por domínio.

Validação “Extendida” (Extended)

c.png

A ligação encriptada nestes certificados utiliza as tecnologias mais avançadas de SSL e pode ser indentificada pelo nome da entidade validada (empresa/pessoa) junto à barra de endereço do browser (em alguns browsers a barra fica verde). Este certificado também requer o envio de documentação. Preço: desde 150€/ano por domínio.

Identificar o tipo de certificado

Como pode ver nos exemplos acima, nem sempre é possível diferenciar os 3 primeiros tipos de certificados. No entanto se clicarmos no cadeado e escolhermos a opção para ver o certificado, poderemos perceber o tipo de certificação.

Sem Validação

Screen Shot 2016-11-03 at 17.16.16.png

Validação de Domínio

Screen Shot 2016-11-03 at 17.19.02.png

Validação de Organização (Empresa/Pessoa)

Screen Shot 2016-11-03 at 17.19.26.png

Validação “Extendida” (Extended)

Screen Shot 2016-11-03 at 17.16.55.png

Dúvidas/Problemas

Pode contactar-nos sempre que necessitar de ajuda (mesmo que não seja nosso cliente).