Dúvidas - Certificado SSL
Consulte as dúvidas mais frequentes sobre Certificado para Servidores SSL
1. O que é o Certificado SSL? 2. Como funciona o Certificado SSL?
3. Como escolher o melhor Certificado Digital SSL?
4. Por que o Certificado SSL é necessário?
5. Os Certificados SSL Certisign funcionam em todos os navegadores?
6. Por que a marca do Certificado SSL é importante?
7. Como os visitantes sabem qual Certificado SSL está inserido em meu site? 8. Por que escolher um Certificado Digital SSL Certisign?
O Certificado SSL identifica sites e garante a autenticidade, privacidade e integridade na transmissão dos dados, proporcionando aos visitantes a garantia de que estão realmente acessando um ambiente "original" e não a uma cópia operada por fraudadores. Isso é possível graças ao protocolo de segurança SSL (Secure Sockets Layer), tecnologia que codifica os dados em tráfego entre o computador do usuário e o servidor responsável pelo site.
Os Certificados SSL são esperados pelos internautas em sites que solicitam dados confidenciais, como informações de identidade e número de cartão de crédito.
O Certificado SSL é um arquivo instalado no servidor web onde o site está hospedado. É composto por:
- uma Chave Pública, que codifica os dados;
- uma Chave Privada, que decodifica os dados.
Quando o internauta acessa um site, o navegador se conecta ao servidor protegido pelo Certificado SSL e uma seção única é criada com essas duas chaves. Assim, todos os dados durante a seção ficam protegidos e indecifráveis por qualquer outra parte, além do internauta e o servidor.
A Certisign comercializa dois tipos de Certificado Digital SSL, e as diferenças estão no processo de autenticação das credenciais.
Autenticação de Domínio (domain authetication) - a Autoridade Certificadora valida se a empresa solicitante do Certificado SSL é proprietária do domínio configurado na solicitação do Certificado ou se há autorização da proprietária do domínio para a realização da validação. A validação é feita com base nos dados cadastrados na entidade responsável pelo registro de domínio.
Autenticação da Organização (Org. Authetication) - a Autoridade Certificadora valida se a empresa solicitante do Certificado SSL é proprietária do domínio configurado na solicitação do Certificado, se a entidade é legalmente constituída e se a pessoa que solicitou Certificado tem poder para efetuar o pedido.
Se o seu site envia ou recebe informações pessoais, é necessário protegê-lo. Hoje, os internautas já têm o hábito de conferir se o site é seguro antes de seguir com a navegação. Proteger o seu site é um fator decisório entre pesquisas de preços e compras efetivas.
Os Certificados SSL da Certisign são compatíveis com 99,9% dos navegadores atuais.
Por que a marca do Certificado SSL é importante?
Porque é a ética e os processos da Autoridade Certificadora que fazem a diferença na segurança da sua plataforma. Quando você tem um Certificado SSL emitido por uma Autoridade Certificadora séria, adiciona valor a sua marca e conquista a confiança dos seus clientes.
Sem contar que para internautas exigentes a marca do Certificado SSL tem o mesmo efeito de roupas de grife: expõe que o seu negócio é sofisticado.
Os visitantes podem clicar no ícone de cadeado no browser, e uma nova janela aparece com informações sobre o seu Certificado SSL. Outro sinal é o selo de segurança Site Seguro, que a Certisign concede o direito de uso. Ele é sinônimo de confiança na web.
Os Certificados SSL Certisign possuem Validação de Organização (fully authenticated) e são os mais indicados, pois, além de certificarem que a empresa está legalmente constituída, asseguram que ela está em operação e que o domínio do Certificado é de sua propriedade.
Ao adquirir um dos Certificados Digitais SSL Certisign, além do direito de aplicação do Selo Seguro Certisign, sinônimo de segurança na web, a Certisign ainda oferece, gratuitamente, serviços que variam de acordo com a aquisição. Entre os serviços estão:
- Avaliação de Vulnerabilidade - para mensurar os pontos frágeis do site;
- Malware Scanning - para evitar que o portal entre na lista negra de provedores de busca e redução do risco de propagação de vírus no sistema;
- Seal in Search - para ajudar o site a ocupar um lugar de destaque em provedores de pesquisa e ainda apoia o aumento do tráfego no portal, já que o selo deste serviço representa confiabilidade na web.
1. O que é CSR?
2. Já tenho meu arquivo CSR, como verificar se ele foi gerado corretamente?
3. Como instalar o Certificado SSL no meu servidor?
5. Como faço para exportar o meu Certificado SSL?
6. Perdi minha frase de identificação, como faço para revogar o meu Certificado SSL?
A CSR (Certificate Signing Request) é um arquivo de requisição do Certificado Digital gerado no servidor web, no qual o site está hospedado. É por meio das informações da CSR que o Certificado Digital é gerado.
O primeiro passo na instalação do Certificado SSL é a geração da CSR.
Organization (O): deve ser preenchido com o Nome Empresarial (antiga Razão Social), sem abreviações ou omissões, conforme consta no cartão do CNPJ.
Organization Unit (OU): deve ser preenchido com o departamento válido da empresa ou com o Nome Empresarial, assim como o campo Organization. Caso seja emitido mais de um Certificado para o mesmo Common Name (CN), esse campo deve ser diferente em cada um dos Certificados. EXEMPLO: Departamento de Segurança.
Importante: o preenchimento deste campo não é obrigatório. Porém, uma vez preenchido, passará pelo processo de autenticação.
Locality (L): deve ser preenchido com o nome por extenso da cidade onde a empresa está localizada SEM acentuação gráfica. EXEMPLO: Sao Paulo.
State (ST): deve ser preenchido com o nome por extenso do estado onde a empresa está localizada SEM acentuação gráfica. EXEMPLO: Sao Paulo.
Country (C): deve ser preenchido com a sigla do país onde a empresa está localizada. Utilizar letras maiúsculas. EXEMPLO: BR.
A CSR deve ser gerada com o tamanho de chave de 2048 bits. Para obter mais informações sobre o procedimento de geração da CSR, clique aqui.
Caso sua empresa não seja responsável pela hospedagem do seu site, solicite o arquivo de requisição CSR para o seu serviço de hospedagem.
Encaminhe seu arquivo de requisição de Certificado Digital para análise do nosso Suporte Técnico por meio do e-mail suporte@certisign.com.br.
Para obter instruções sobre a instalação do seu Certificado SSL, clique aqui
4. Onde eu posso fazer o download da hierarquia do meu Certificado SSL?Acesse os hiperlinks a seguir, de acordo com o Certificado SSL adquirido.
Para ter acesso ao procedimento de exportação, clique aqui
Em caso de esquecimento ou perda da frase de identificação criada na solicitação do Certificado SSL, a revogação só poderá ser realizada por meio de uma Carta de Revogação.
Solicite o modelo escrevendo para validacao@certisign.com.br.
Posteriormente, a carta deve ser enviada para o mesmo endereço.
1. O que é o selo Site Seguro Certisign?
3. Quanto custa o selo Site Seguro Certisign?
6. Como instalar o selo Site Seguro Certisign?
O selo Site Seguro Certisign é um símbolo de confiança disponível para todos os clientes de Certificado SSL Certisign. Ele é reconhecido pelos internautas como sinônimo de segurança na web.
2. Por que é importante exibir o selo Site Seguro Certisign em meu site?Porque ele é reconhecido na internet como sinônimo de segurança. Por meio da exibição, você transmite confiança aos seus visitantes, reduzindo a quantidade de abandono de carrinho. A consequência? Mais vendas e valor à sua marca.
O selo Site Seguro Certisign é disponibilizado gratuitamente aos sites protegidos pelos SSL Certisign.
4. Quais são os requerimentos de sistema para a utilização do selo Site Seguro Certisign? O selo Site Seguro Certisign utiliza JavaScript e pode ser entregue pela Certisign com ou sem conteúdo Flash. O conteúdo Flash provê animação e é o preferido pela maioria dos clientes.
5. Onde o selo Site Seguro deve ser inserido?Você pode inserir o selo Site Seguro Certisign em qualquer página dentro do domínio para o qual solicitou o seu Certificado SSL. Algumas sugestões:
1. no rodapé de todas as páginas do site;
2. na parte superior das páginas que tenham protocolo SSL habilitado, especialmente nas de checkout;
3. nas páginas onde constar informações sobre a política de segurança, proteção e privacidade;
4. próximo dos botões "Comprar".
Após 24 horas da emissão do Certificado SSL, você receberá as informações por meio do e-mail cadastrado como Contato Técnico.
7. Posso "customizar" o selo Site Seguro Certisign? Não é permitido modificar o selo Site Seguro Certisign.
8. Como reportar um caso de mau uso do selo Site Seguro Certisign? Entre em contato por meio do formulário.
1. Heartbleed: saiba como proceder 2. Endereços internos: saiba como proceder
3. Vulnerabilidade DROWN: como proceder
4. Distrust dos Certificados Symantec
A Certisign, ciente da vulnerabilidade do sistema OpenSSL, chamada Heartbleed, que permite o acesso a informações confidenciais, informa que essa falha não está relacionada ao protocolo de segurança SSL dos Certificados Digitais Site Seguro e suas versões Pro e EV, comercializados pela empresa.
As versões vulneráveis do sistema OpenSSL são:
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4;
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11;
- CentOS 6.5, OpenSSL 1.0.1e-15;
- Fedora 18, OpenSSL 1.0.1e-4;
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) e 5.4 (OpenSSL 1.0.1c 10 May 2012);
- FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013;
- NetBSD 5.0.2 (OpenSSL 1.0.1e);
- OpenSUSE 12.2 (OpenSSL 1.0.1c).
Caso você utilize uma dessas versões, recomendamos a reposição dos Certificados Digitais SSL Certisign/Symantec de seus sistemas vulneráveis e a atualização da plataforma OpenSSL.
Embora a falha não esteja em nossos produtos, os clientes Certisign terão direito a reposição gratuita do Certificado Digital SSL. O novo Certificado será gerado com data de expiração igual ao do Certificado a ser substituído.
1º passo: atualize o OpenSSL para a versão 1.0.1g ou, se não for possível, recompile o OpenSSL conforme as instruções do OpenSSL Project.
2º passo: realize o update de seu servidor web (Apache, nginx) utilizando o OpenSSL 1.0.1g ou recompilado.
3º passo: gere uma nova CSR. Clique aqui.
4º passo: solicite a reposição do certificado. Clique aqui.
Atenção: não revogue o Certificado atual antes de instalar um novo.
5º passo: após a instalação do Certificado de reposição, remova o Certificado inicial do servidor.
6º passo: certifique-se de que o servidor está operando normalmente com o novo Certificado.
7º passo: revogue o Certificado gerado antes da atualização do OpenSSL.
Em caso de dúvida, entre em contato:
4020-2430 (capitais e regiões metropolitanas), 0800-025-1501 (demais localidades, disponível apenas para telefone fixo) - de segunda a sexta, das 09h às 18h - exceto feriados nacionais | suporte@certisign.com.br
Por determinação da CAB/Fórum, entidade internacional que padroniza e regula as práticas de mercado para Autoridades Certificadoras (ACs) e fabricantes de browser, desde 01 de novembro de 2015, as empresas que desejam proteger seus domínios internos e uso de Ips com o Certificado SSL devem registrá-los nos órgãos especializados, como, por exemplo, o Registro.br ou Whois.
Essa mudança tem como objetivo intensificar a segurança do ambiente contra ataques, como o man-in-the-middle, que desvia os dados e os redireciona ao destinatário imperceptivelmente. Esse ataque ficou mundialmente conhecido após a NSA - National Security Agency utilizá-lo para ter acesso aos dados de órgãos brasileiros.
Os Certificados Digitais para domínios internos e uso de Ips solicitados até setembro de 2014 somente poderão ser emitidos com 1 (um) ano de validade. E após o término da validade, terão que ser registrados para se adequarem a determinação da CAB/Fórum.
O DROWN, nome dado à nova falha, afeta servidores HTTPS e outros serviços que dependem de SSL e TLS. Acredita-se que 33% dos servidores HTTPS estejam vulneráveis, incluindo 25% dos maiores domínios HTTPS e 22% de todos os sites tidos como confiáveis pelos navegadores. Vale acrescentar que há o risco também aos servidores diferentes que compartilham a mesma chave pública, como ocorre com Certificados Wildcard. Nesse caso, se um deles usar SSLv2, os demais servidores que usem somente TLS também podem ser atacados.
O ataque explora as falhas de uma versão já antiga do SSL, mas ainda disponível, a SSLv2. O protocolo foi lançado na década de 1990 e já está obsoleto há um tempo, porém, ainda é encontrado em muitos servidores, seja por padrão, seja em razão de más configurações, negligência ou pela presença de dispositivos antigos.
A brecha quebra a criptografia e expõe comunicações e informações da web e de servidores de e-mail e VPNs, incluindo senhas, números de cartões de crédito, segredos industriais e outros dados sensíveis. Até máquinas que não usam SSLv2 estão vulneráveis se o servidor com o qual se comunicam suporta o protocolo antigo. O ataque usa as falhas da versão já aposentada para atacar a segurança de conexões feitas sob protocolos completamente diferentes.
A mantenedora da OpenSSL já disponibilizou uma atualização para lidar com o DROWN e outras vulnerabilidades em seu software de código aberto. O update desabilita o SSLv2 como padrão, bem como outras configurações fracas do SSLv3 e versões posteriores.
Como resolver esse problema?
Desabilite o suporte a SSLv2 nos servidores. Por padrão, ele já é desabilitado em servidores IIS 7.0 ou superiores.
Os pesquisadores disponibilizaram no site https://drownattack.com/ uma ferramenta de verificação se o seu site está vulnerável.
Conforme anunciado na imprensa, a DigiCert adquiriu a unidade de negócio de Website Security da Symantec empresa parceira da Certisign, responsável pelas soluções de SSL, PKI e IOT. O processo de transição já foi iniciado e, como parte dele, será necessária a substituição do seu Certificado SSL/TLS por um novo para evitar problemas de compatibilidade com o navegador Google Chrome.
Isso porque, em 27 de julho de 2017, o Google determinou que todos os Certificados emitidos pela Symantec entre 01/06/2016 e 01/12/2017 não serão reconhecidos como confiáveis pela versão beta do Google Chrome 70. Desta forma, recomendamos que a substituição e emissão destes certificados sob a nova hierarquia da DigiCert deva ocorrer até o dia 13 de setembro de 2018. Caso a substituição não ocorra dentro do prazo determinado, os Certificados do seu site não serão reconhecidos a partir desta data pelo Google Chrome.
Para que seu site continue a ser compatível com o navegador Google Chrome 70, solicite a substituição (Replace) de seu Certificado. A substituição é gratuita e o novo Certificado terá a mesma data de validade do Certificado anterior.
Caso necessite de mais informações ou ajuda, entre em contato conosco por meio do e-mail suportessl@certisign.com.br ou via telefone 11 3546-3712.
Referências:
https://www.digicert.com/replace-your-symantec-ssl-tls-certificates/
Para calendário Apple & Safari acesse:
https://support.apple.com/en-us/HT208860