Por Davi Netto em 06-08-2021

Este guia foi elaborado para ajudar empresários e responsáveis de TI que querem certificar que os sites e sistemas de suas empresas estão protegidos e com certificado SSL devidamente configurado.

Antes de começar:

Conduza todos os testes em uma guia anônima (Ctrl+N no Google Chrome, Ctrl+P no Firefox). Caso contrário, seu navegador poderá deixar de exibir os alertas de segurança já aprovados por você no passado, levando a um diagnóstico incorreto.

É possível que você obtenha resultados diferentes ao utilizar navegadores diferentes portanto, conduza testes em em todos os principais navegadores para certificar-se que a conexão estará segura independente do navegador que o usuário acessar.

1. Identifique todos os sites e sistemas usados pela empresa

Para fazer um diagnóstico completo, levante uma lista de todos os sistemas acessíveis pelo navegador de internet que os funcionários e clientes da empresa utilizam. Alguns exemplos são o site da empresa, webmail, sistemas ERPs, sistemas de contabilidade e de RH. Não se esqueça que em muitos casos, funcionários precisam acessar sistemas web de outras empresas. Conduza os testes nestes sistemas também.

Essa verificação pode ser feita em níveis de profundidade diferentes de acordo com a matriz de risco das operações de sua empresa e a natureza dos dados que a organização trata.

2. Certifique-se que os sistemas usam https

HTTPS é o protocolo de comunicação segura sucessor do HTTP. Este “s” adicional significa segurança, literalmente. Tente acessar o link de cada sistema adicionando https nos links. O ideal é que a página carregue sem erros, e o cadeado de segurança exibido na frente do link esteja sem nenhum impedimento.

Para obter detalhes mais completos, clique no link no ícone do cadeado e veja se o navegador mostra a mensagem “Esta conexão é segura” .

2.1. Avalie as não conformidades

Algumas situações adversas podem acontecer quando você não está navegando em uma conexão 100% segura:

O site não carrega com https: Estes casos ocorrem quando o seu computador não consegue estabelecer uma conexão segura com o servidor da aplicação por protocolos seguros. É possível que o certificado SSL não esteja presente, ou esteja configurado de forma errada.

Alerta “Sua conexão não é particular”: Estes casos ocorrem quando seu navegador não consegue verificar se o site ou aplicação são seguros para navegar e que toda comunicação com aquele site não possua encriptação, apresentando grandes riscos de segurança.

Cadeado vermelho ou mensagem “Não seguro”: Significa que o certificado SSL não esteja presente, ou esteja configurado de forma errada e a conexão é insegura. Quando isso ocorre, os navegadores exibem algum alerta como este:

.

Alerta de Conteúdo misto: Estes casos ocorrem quando o servidor, apesar de possuir um certificado SSL, não está utilizando este protocolo para todos os recursos disponíveis no site, de forma que a conexão fique parcialmente insegura, exibindo algum ícone de aviso .

Observações: Cada navegador exibe avisos de aparências diferentes. Alguns dos principais são:

Google Chrome:

Mozilla Firefox:

Microsoft Edge:

Internet Explorer:

3. Tente forçar o carregamento inseguro dos sites com http

Mesmo que o certificado de segurança esteja presente e a conexão esteja segura, é possível forçar uma conexão insegura retirando o “s” do protocolo e tentando carregar o site apenas com HTTP. O correto é que o site redirecione a conexão para https automaticamente. Caso isso não ocorra, significa que sua conexão não está 100% protegida uma vez que permite que usuários não utilizem o protocolo seguro HTTPS.

4. Como corrigir os erros de segurança encontrados?

É necessário emitir e aplicar corretamente o certificado SSL em cada um dos sites, sistemas e aplicações. Existem tipos diferentes de certificados SSL ideais para situações e aplicações distintas. Para conhecer melhor sobre as opções de certificados SSL disponíveis em nossa empresa, você pode acessar nossos planos e preços de certificados SSL.

Para as situações de sistemas de outras empresas, informe o responsável pelo sistema ou empresa para tomar as providências necessárias. Essa conscientização é essencial para garantirmos uma web mais segura para todos nós. A comunicação é sempre uma via de mão dupla.

Privacidade é o assunto da vez. Vai ficar de fora?

Contate-nos para saber como podemos melhorar segurança da sua empresa na web.