Dicas da comunidade - Perguntas Frequentes de Segurança

Leia antes de postar

Certifique-se de ler esta postagem e outras vinculadas a ela e use o comando :search: no alto, à direita, para pesquisar seu problema. Esta Dica da Comunidade contém respostas para as perguntas frequentes sobre SSL/TLS. A pesquisa :search: irá revelar recomendações e informações adicionais.

Contexto
Essas Perguntas Frequentes sobre segurança abrangem o Cloudflare Spectrum, o Cloudflare Access, o Universal SSL gratuito, certificados de borda, certificados autoassinados e certificados de origem, TLS, HSTS e qualquer outro item do aplicativo SSL/TLS.

Loop de redirecionamento
Se você estiver usando o modo SSL Flexível na guia Visão Geral do aplicativo SSL/TLS da Cloudflare e estiver forçando HTTPS na sua origem, esta será a causa mais provável do problema. O modo Flexível funciona ao não criptografar o tráfego que entra e sai da sua origem e da Cloudflare. Devido ao fato de a sua origem estar forçando https e, em seguida, a solicitação ser redirecionada para a Cloudflare, onde a Cloudflare tenta enviar de novo a mesma solicitação http, um loop infinito está ocorrendo. Esse problema é analisado no guia da base de conhecimento: Por que o SSL Flexível causa um loop de redirecionamento?

Para corrigir isso, você tem algumas opções:

Saiba mais sobre SSL nesse Tutorial da Comunidade,
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646.

Subdomínio com excesso de profundidade/Certificados Personalizados e Certificados de Validação Estendida
Após a Cloudflare ter provisionado com sucesso a nossa oferta de certificado “Universal SSL” na sua zona, vale observar que esses certificados só cobrem um único nível de subdomínios: (*.example.com, mas não *.*.example.com):

  • Irá funcionar: www.example.com
  • Irá funcionar: example.com
  • Irá funcionar: teste.example.com
  • NÃO irá funcionar: www.test.example.com
  • NÃO irá funcionar: staging.www.example.com

Caso precise de um certificado que abranja subdomínios de vários níveis, você pode comprar um Certificado SSL Dedicado com Nomes de Host Personalizados, no qual você pode declarar todos os seus subdomínios de vários níveis durante a compra.

Se preferir usar seu próprio certificado em vez do certificado Universal SSL que fornecemos, você precisará fazer o upgrade para o Plano Business e carregar um Certificado Personalizado.

Vale observar que a Cloudflare não oferece certificados de “Validação Estendida” no momento. Se quiser utilizá-lo, você precisará adquirir um separadamente e carregá-lo na sua conta da Cloudflare usando o carregamento de SSL Personalizado.

Alternativamente, você pode adquirir uma Gestão Avançada de Certificados e criar um certificado dedicado com um nome de host personalizado.

Entenda a Gestão Avançada de Certificados
Como gerenciar Certificados SSL Dedicados

Clientes com suporte (somente SNI)

Nossos certificados SSL dos planos pagos (Pro, Business e Enterprise) irão funcionar com todos os navegadores de computador. Caso você esteja preocupado com a compatibilidade ou tiver muitos usuários com navegadores antigos, recomendamos que faça o upgrade para um de nossos planos pagos.

Tanto os Certificados Dedicados quanto o Universal SSL usam os certificados com Indicação do Nome do Servidor (SNI) usando o Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA). Os certificados com SNI e ECDSA funcionam com os seguintes navegadores modernos:

Navegadores de desktop instalados no Windows Vista ou no OS X 10.6 ou posterior:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (com TLS 1.1 habilitado)
  • Google Chrome versão 5.0.342.0
  • Safari 2.1

Navegadores de dispositivos móveis

  • Safari móvel para iOS 4.0
  • Android 3.0 (Honeycomb) e posterior
  • Windows Phone 7

Observe que quaisquer serviços de API ou gateway de pagamento que estiverem, se comunicando com seu site também precisarão ser compatíveis com SNI e ECDSA para conseguirem se conectar com seu site por meio da Cloudflare.

Modos SSL – SSL para a origem

A Cloudflare oferece os seguintes modos SSL:

  1. SSL Flexível: o SSL termina nos servidores de borda da Cloudflare. Tudo o que existe entre o seu cliente e a Cloudflare é criptografado e entre a Cloudflare e sua origem não é criptografado. Você não precisa de um certificado para isso.
  2. SSL Completo: o SSL termina nos servidores de borda da Cloudflare. Em seguida é criptografado novamente e enviado de volta para os seus servidores, totalmente criptografado. Você precisará de um certificado SSL instalado no seu servidor. Você pode usar um certificado autoassinado com essa opção.
  3. SSL Completo (Estrito): o mesmo que o SSL Completo, mas você precisará de um certificado que seja assinado por uma CA como a GlobalSign. Se quiser habilitar o SSL Completo Estrito, você pode instalar um certificado de origem gratuito da Cloudflareno seu host.

Uma visão geral completa das suas configurações de SSL pode ser encontrada [aqui] (https://support.cloudflare.com/hc/en-us/articles/200170416).

Se desejar usar as opções de configuração de SSL Completo e Completo (Estrito) você precisará ter um certificado no seu servidor web de origem.

Se decidir usar a opção Completo (Estrito), esse Certificado SSL precisará ser válido e assinado por uma Autoridade Certificadora, ou será preciso usar o nosso serviço de CA de Origem.

Erros de conteúdo misto e loops de redirecionamento

Se você perceber que um cadeado verde está ausente do seu navegador ao se conectar por HTTPS, se tratará provavelmente de um problema de conteúdo misto. Erros de conteúdo misto significam que seu site está sendo carregado por HTTPS, mas alguns recursos estão sendo carregados por HTTP. Para corrigir isso, você precisará editar seu código de origem e alterar todos os recursos para que sejam carregados por um caminho relativo ou diretamente por HTTPS.

Por exemplo, se você carregar suas imagens com um URL completo:

<img src="http://example.com/image.jpg" />

Você vai querer alterar isso para:

<img src="//example.com/image.jpg" />

Se você remover o http:, o navegador usará qualquer protocolo que o visitante já estiver usando. Confira esse artigo para obter mais informações. Alternativamente, você pode instalar o plugin de Corretor de Conteúdo Misto que irá substituir automaticamente o http por https nessas seções. No caso do Wordpress, tivemos sucesso com o plugin Corretor de Conteúdo SSL Inseguro.

Uma opção alternativa seria habilitar o recurso Reescrita Automática de HTTPS, que tem a possibilidade de corrigir esses erros para você automaticamente. Porém, esteja ciente de que os recursos carregados por JavaScript ou CSS não serão reescritos automaticamente e os avisos de conteúdo misto continuarão aparecendo.

Esses problemas costumam ser associados com frequência aos usuários do serviço SSL Flexível da Cloudflare. Você pode verificar se está usando o serviço de SSL da Cloudflare no modo Completo ou Flexível entrando no seu painel de controle da Cloudflare e clicando na guia Visão Geral do aplicativo SSL/TLS e, em seguida, prosseguindo para as configurações de SSL.

Usuários do SSL Flexível

O modo Flexível funciona ao não criptografar o tráfego que entra e sai da sua origem e da Cloudflare. Devido ao fato de a sua origem estar forçando https e, em seguida, a solicitação ser redirecionada para a Cloudflare, onde a Cloudflare tenta enviar de novo a mesma solicitação http, um loop infinito está ocorrendo. Consegui confirmar que seu site, realmente, está utilizando um redirecionamento para HTTPS.

Para corrigir isso, você tem algumas opções:

Além disso, a Cloudflare também anexa um cabeçalho X-Forwarded-Proto, que pode ser http ou https, dependendo do protocolo que o usuário utilizou para visitar o site, assim:

X-Forwarded-Proto: https

Quando um SSL Flexível estiver configurado e um visitante fizer uma solicitação à Cloudflare por HTTPS, a Cloudflare faz uma solicitação à origem por HTTP. Nessa situação, o servidor de origem pode determinar que o visitante estava usando HTTPS inspecionando esse cabeçalho.

Certificado não provisionado
Verifique os registros do aplicativo de DNS para se certificar de que ( example.com ) e www.example.com ou example.com estão com uma nuvem laranja.

Para que o certificado Universal SSL da Cloudflare seja provisionado, você precisa colocar todos os registros necessários com nuvem laranja. Assim que o registro de DNS estiver com a nuvem laranja, seu certificado Universal SSL da Cloudflare começará a ser provisionado.

Para obter mais informações sobre como fazer isso, acesse o guia de configuração rápida abaixo:

Outros erros de SSL/TLS

Como corrigir o Erro 520: o servidor web está retornando um erro desconhecido
Como corrigir o Erro 521: servidor web fora do ar
Como corrigir o Erro 525: o handshake SSL falhou
Como corrigir o Erro 526: certificados de SSL inválidos

Se precisar de mais ajuda
Essa comunidade de outros usuários da Cloudflare pode ser capaz de ajudá-lo. Entre na Cloudflare e faça sua pergunta para a Comunidade. Ao postar na Comunidade, certifique-se de incluir o máximo de informações possível, tais como: a mensagem de erro específica que você está vendo, os URLs onde isso está ocorrendo, uma captura de tela do erro e as etapas para reproduzir o erro. Não deixe de indicar os passos da solução de problemas que você tentou para nos ajudar a ajudá-lo.

Agradecemos os comentários dos especialistas
Esta Dica da Comunidade permanecerá aberta para contribuições dos especialistas da Comunidade e dos que têm conhecimento desse problema. Somos realmente gratos por comentários como: “Quais são as três coisas que sempre devem ser tentadas”, ou “Faça isso primeiro”, ou “De acordo com a minha experiência”.

Esta é uma Dica da Comunidade da Cloudflare. Para ler outras dicas, clique aqui.

Çevirmek…translate…翻译…traducir…Traduire…Übersetzen…:greyg: Traduza essa dica

AQSECT 030321