Menos de um mês atrás nós perguntamos sua opinião sobre HTTPS em DesdeLinux. Através Petercheco Por mais de uma semana o blog está com HTTPS habilitado, ou seja, eles podem acessar https://blog.desdelinux.net e o servidor responderá.
As razões para pensar sobre HTTPS de que falamos antes são basicamente:
- O Google irá considerar sites HTTPS para SEO no futuro.
- HTTPS é criptografia de informações, o que se traduz em maior segurança para suas informações e as nossas.
Como você pode ver, é um ponto a nosso favor em todas as formas implementar o HTTPS adequadamente em nossos sites.
Sobre SEO e GoogleEmbora seja verdade que o Google NÃO associará imediatamente o seu PageRank com HTTPS, será algo que no futuro terá um relacionamento direto, vamos lá, que influenciará nosso SEO. Agora podemos usar ferramentas para verificar nosso SEO, estou até testando alguns Aplicativos de posicionamento de SEO disponível que possa ter uma versão para Android, bem, no futuro a implementação ou não de HTTPS será um dos parâmetros a serem medidos.
Em relação à segurança da informaçãoÉ evidente que os logins (usuário e senha) circulando em texto puro na rede não é o mais aconselhável, qualquer pessoa com dois dedos na testa pode capturar uma senha e bem ... faça o que sua imaginação permitir 🙂
HTTPS ativado DesdeLinux
Como eu disse antes, se eles concordarem em https://blog.desdelinux.net Nosso servidor responderá a eles, seu navegador mostrará que o site não é confiável e tal ... porque não pagamos para que uma empresa assinasse nosso certificado como "válido". Basta clicar em Baixar / Obter Certificado e depois em Aprovar, que será o suficiente para acessar o site.
Através Petercheco Temos um certificado gerado por nós mesmos, porque quem os escreve conhece servidores e outros mas ... hehe, nunca tive que trabalhar com SSL, então recomendo que você baixe e importe nosso CA em seu navegador.
Para adicioná-lo aqui as etapas:
- Abra o Firefox
- Existe uma preferências o Configuração
- Vamos para a seção avançado, especificamente a guia Certificados
- Clicamos no botão assunto e procuramos o arquivo que acabamos de baixar e é isso.
Aqui está uma captura de tela:
Assim que o certificado for adicionado ao navegador, poderemos acessar o blog por HTTPS sem que o sinal de aviso apareça 😉
E agora, o que vem a seguir?
Por enquanto estamos testando HTTPS, que o blog esteja bem exibido ali e verificando se está tudo bem. Então, qualquer erro ... por favor comunique 😉
Então algo que pretendemos fazer é que o WP-Admin seja obrigatório para utilizá-lo através de HTTPS, pois a primeira coisa que devemos proteger é o usuário e senha de todos nós, para isso basta adicionar uma linha no wp-config.php do WordPress.
Esta será (possivelmente) a próxima etapa.
Bem, nada, vou deixar aí por enquanto. Aguardo feedback de vocês para ver se tudo funciona como deveria
PD: O blog continua trabalhando em HTTP e HTTPS, não se preocupe 😉
Testando a implementação, entretanto, boa sorte para que nada caia.
1) para fazer no cromo, acesse as configurações, mostre as opções avançadas, gerencie certificados, aba autoridades emissoras, importe, selecione o certificado e pronto.
2) Acho que ele me lembra que o login do wordpress está falhando porque depois de fazer o login (e entrar no painel), eu entro no blog e saio.
o login é feito. não se preocupem.
No meu caso, estou usando o chromium, ele está me pedindo a senha que foi usada para criptografar o certificado ?? algo muito estranho que me pergunta isso.
No caso do firefox, ele foi importado com sucesso.
Alguma ajuda??
Oi NauTiluS, Acabei de testar no Chromium 36 e no Chrome 37 mais recente e não há problema.
Ele está na guia de autoridades emissoras, não em um de seus certificados
Eu tenho o 37 e é aqui que me deu aquele problema
Esqueci, dou um vídeo que fiz com os passos que dou e a falha comentada.
Vou mostrar o vídeo aqui, com as etapas realizadas.
https://vimeo.com/105256304
ps: por favor, algum moderador para apagar o comentário anterior, já que a tecla Enter foi pressionada por engano.
O certificado deve ser importado na guia com o nome Autoridades e não em seus certificados como você faz em seu vídeo. Clique na guia com o nome Autoridades :).
Pronto petercheco.
É a primeira vez que faço em cromo :!
HTTPS em um blog é um absurdo, a maioria das pessoas só acessa blogs para lê-los e para um acesso de login, não há nada de valor além de um nome de usuário, uma senha e o e-mail. Por outro lado, fazê-lo porque o Google estipula que me deixa bastante assustado, pois então já damos a razão de que o Google é o governo da Internet e quem não passar por ela fica para trás. Da mesma forma, a mudança no algoritmo do Google está sendo mal interpretada, pois não diz que todos os sites devem ser HTTPS, mas se eles darão prioridade ao conteúdo que precisa ser criptografado em relação ao conteúdo que não o é (por exemplo, mercados ou sites onde os dados são processados sensíveis, como cartões de crédito ou informações pessoais). Isso como um sistema de segurança é muito bom e concordo que o Google faz isso, mas agora não precisamos gastar US $ 30 por ano por certificado e domínio para um simples site de informações públicas.
Agora, espero que você leve em consideração que um site com um certificado autoassinado É penalizado pelo Google, pois haverá alertas de que o site é perigoso e nem todos se preocuparão em adicionar o certificado em seu navegador.
Uma saudação.
Comentário interessante. Eu, pessoalmente, não apoio https e você me deu um bom motivo para reafirmar minha posição.
… Por que o Google estipula isso? Eles não percebem que esse monopólio do Google quer colocar na privacidade de pessoas que até pedem um número de telefone para que propósito? … Para rastrear e saber tudo o que você faz. Agora você não poderá mais comentar livremente nestes fóruns ... se você não está registrado nesta página? … .E tudo por quê?… Porque é assim que o google manda.
Acho que estamos exagerando muito ...
que não será possível comentar livremente DesdeLinux? …que você não pode comentar se não estiver registrado? …isto não tem nada, repito, NADA a ver com o Google ou qualquer outra empresa, seriam medidas que, se aplicadas (embora não veja razão para o fazer), seriam uma decisão nossa e não de outros.
O HTTPS não é propriedade do Google, longe disso, é simplesmente HTTP, mas as informações trafegam criptografadas (protegidas) pela rede, nada mais.
Não é colocar HTTPS para colocá-lo, eu ainda acho que os dados de login trafegam em texto simples é uma ideia RU, MUITO RUIM.
O que menos me preocupa é que um hacker por meio de um ataque MITM saiba que estou lendo um blog que ele pode acessar usando o mesmo endereço de onde eu acesso, por isso reafirmo que nem todos os sites devem ter HTTPS necessariamente e acredito que a posição do Google é priorizar o conteúdo criptografado cujo tráfego de dados confidenciais é maior do que o tráfego de visibilidade pública.
Não vejo como agora ter que pagar X por ano por um certificado e por aqueles que gerenciam um passe de domínio, mas aqueles de nós que têm mais de 3 domínios registrados é uma despesa que não podemos pagar de forma alguma.
Isso não é totalmente verdade, especialmente nos casos em que os usuários são "inocentes" o suficiente para usar a mesma senha em seu e-mail. 🙂
Abraço! Paulo.
Compartilho seu ponto de vista @usemoslinux, muitos usuários "inocentes" têm o péssimo hábito de usar o mesmo nome de usuário e senha para quase tudo que fazem na Internet sem entender o risco que isso implica para sua privacidade.
E por falar em privacidade, o https não é implementado apenas para segurança, mas também para dar ao usuário a possibilidade de ter maiores níveis de privacidade e isso é positivo de qualquer ponto de vista, sem a necessidade de entrar em outros discursos para esse problema.
Eu concordo com ambos :).
Usar HTTPS é sempre positivo, mas também não é para desperdiçar dinheiro. Só implemente onde for realmente necessário. Para os usuários usarem a mesma senha em todos os sites é como fazer 50 cópias da chave de sua casa e jogá-las na rua, até que alguém saiba onde você mora, ocorre um infortúnio e você tem que trocar seu chapéu-coco, mas eu não Não tenho um chaveiro que saiba que faço isso e me dê uma cópia. Se as pessoas não são cuidadosas com seus dados confidenciais, por que devemos ajudá-las se elas não estão levando a sério algo que deve ser tratado com bom senso. Este último parece muito cruel, mas pelo menos aprendi com infortúnios e mesmo com muitas informações sobre como devemos tratar nossos dados, a maioria deles não leva a sério como deve tratar os dados.
Gastar, no meu caso, mais 30 euros por ano para proteger as pessoas de algo que não deveriam fazer por senso comum, não é lucrativo para mim.
O certificado está instalado incorretamente ...
http://www.sslshopper.com/ssl-checker.html#hostname=blog.desdelinux.net
Sim, você está certo, algo está errado ..
O certificado não foi instalado incorretamente. Tudo está correto. O que esta página informa é que não é um certificado assinado por nenhuma das principais autoridades de certificação.
DESDELINUX.NET tem sua própria CA :).
Ele também afirma que é o servidor correto com seu ip correto:
blog.desdelinux.net = 69.61.93.35
O que dá segurança aos usuários de que se trata do servidor. desdelinux.net conforme aparece na configuração DNS do domínio.
E até o Firefox / Iceweasel torna isso fácil de entender.
https://filippo.io/Heartbleed/#blog.desdelinux.net
Ola franco
Digo o mesmo que @Mstaaravin .. O que esta página informa é que não é um certificado assinado por nenhuma das principais autoridades de certificação ..
Em nenhum caso ele é afetado com Heartbleed.
Uma pequena correção no servidor e não me mostra mais a vulnerabilidade, obrigado pela informação.
Ei, por que você não assina com CAcert? para que todos nós que importamos certificados CAcert não precisemos abrir uma exceção ao seu certificado, e ele entrará automaticamente no blog 😉
Que estranho, quando você tenta se cadastrar no CAcert, você pega a página que não é um certificado válido hahahaha
Aí você acertou em cheio Elav hahaha
Peço desculpas .. em vez de pregado .. pregado ..
você já tem pontos no CAcert? se ninguém te endossou, acho que não vão deixar você carregar seu certificado = /
Ele não vem por padrão nos navegadores, mas o CAcert é uma entidade reconhecida globalmente, e pessoas como eu confiam nele e importam certificados CAcert. Assim, se o blog desdelinux É certificado pela CAcert, mais uma razão para confiar que seu certificado SSL é válido e não preciso sair por aí importando certificados independentes 😉
Não sei se você já foi certificado pelo CAcert, mas o processo é que pelo menos 5 pessoas (aproximadamente) precisam certificá-lo, e elas verificam cerca de 3 identificações cada. Confio muito no CAcert.. em relação ao certificado de desdelinux, também confio, mas vou dar um exemplo, como posso saber se o certificado não foi alterado há uma hora por algum cracker e estou aceitando o certificado falso desde o início? Não creio que isso tenha acontecido, só estou dizendo que o CAcert aumenta um pouco a sua confiança.
Esse é exatamente o problema, não podemos carregar nosso certificado 😀
Alguém pode nos dar uma mão?
Não faz sentido gerar um certificado assinado pelo CAcert, uma vez que essa autoridade não está incluída por padrão nos navegadores da web.
É igual ao próprio CA desdelinux.net
Para quem não acredita em mim: http://es.wikipedia.org/wiki/CAcert.org
É engraçado o que você diz @biker.. Você confia no CAcert, mas não confia no certificado e em seu próprio CA emitido por Desde Linux?
Também @biker, tenha em mente que o site do google também usa um certificado emitido por eles (google Inc) .. Você confia nele? Porque é o mesmo .. A diferença é que entraram em contato com os desenvolvedores dos principais navegadores da web e incluíram seu certificado CA por padrão em seus navegadores.
Você pode fazer o mesmo desdelinux.líquido..
Vamos ver @biker,
Por um lado, entendo o que você está dizendo. Por outro lado, justamente para evitar que um hacker altere o site do. desdelinux.net para outro local com um certificado diferente, você receberá a CA para fazer download desdelinux.net para o qual você importa e com o qual todos os certificados localizados no servidor são assinados. desdelinux..Se alguém cancelar a assinatura do servidor real desdelinux.net e impõe o seu com um certificado diferente daquele que terá sido gerado, este não será assinado pela autoridade real de desdelinux.net e no navegador você receberá uma mensagem informando que o certificado do servidor não corresponde aos certificados assinados pela CA original.
É impossível que algo aconteça .. É por isso que criei o certificado do servidor e a CA que os assina e não usei diretamente um certificado autoassinado, pois isso seria perigoso :).
Oi. Notícias muito boas. Com certificados autoassinados, é um problema. Eu trabalho com openvpn e uso SSL para os certificados e não há problemas. Mas para as webs sim, porque se não tiverem as mesmas formadas por uma empresa do ramo é pior do que não usar SSL. E essa questão de certificados é uma porcaria já que eles cobram de você locutas por eles.
Se você entrar na web via HTTPS, ao entrar em algum artigo ele não mantém o protocolo, mas a solicitação de entrada é via HTTP. Vamos lá, alguns links não mantêm o protocolo (no menu do cabeçalho da web ele mantém)
Sim, isso ainda está faltando porque você tem que modificar o loop ou algo no núcleo do WordPress, ou pelo menos esta é a primeira solução que encontro 🙂
Parabéns KZKG ^ Gaara pelo trabalho que tem feito e espero que tudo corra bem e que você tenha poucos relatos .. Naveguei no blog usando https e não vi nada que tenha que relatar: D.
Quanto ao certificado de desdelinux.net.. O certificado desdelinux.net não é autoassinado, mas é assinado por uma autoridade de segurança (CA). desdelinux.líquido..
É por isso que este blog se oferece para baixar esta autoridade.
É como a autoridade CAcert de que fala @biker .. Acho que não há problema em importar um certificado no navegador que meninos e meninas têm ..: D.
De minha parte, é bom proteger a comunicação entre o cliente e o servidor criptografando-a.
Obrigado pela ajuda.
Vamos esperar resolver os detalhes que ainda restam 🙂
De nada, KZKG ^ Gaara. Ainda bem que posso ajudar um pouco :).
Testando e tudo corre bem.
Reportando do Submundo: Bom, quando acessei via https, peguei aquilo sobre a segurança do certificado, aí dei Baixe o CA criado pelo petercheco, peguei uma etiqueta onde queria saber se permitia instalar esse certificado para acessar do site, para receber mensagens dele, etc., aceitei tudo e entrei perfeitamente no blog através do https. Resultado: A única coisa ruim para mim é, como eu esperava, que o carregamento das páginas fique um pouco lento, mas ei, isso não é como cortar os pulsos, se estou com pressa acesso pelo http, ponto final. Todos os esforços de segurança são apreciados.
Já está me carregando mais rápido, era só um problema de velocidade de banda larga daqui ... do submundo.
Funciona perfeitamente, mas ao acessar os artigos e navegar entre as páginas usa http por padrão, existe uma maneira de sempre usar https?
Eu concordo, a mesma coisa acontece comigo.
Isso me dá um erro, e não é porque não é de uma autoridade de certificação reconhecida
Detalhes técnicos:
blog.desdelinux.net usa um certificado de segurança inválido. O certificado não é confiável porque nenhuma cadeia de emissores foi fornecida. (Código de erro: sec_error_unknown_issuer)
Eu me pergunto: se o certificado não for assinado por uma entidade de segurança reconhecida, não seria mais fácil (pelo menos no firefox) simplesmente entrar no site através de https e quando aparecer o aviso, salve permanentemente o certificado, como normalmente é feito com qualquer certificado autoassinado?
Bom no Firefox você pode fazer uma exceção permanente, mas no IE acho que não .. É melhor que cada um importe a autoridade no seu navegador e pronto.
Foi assim para mim.
Olá, sei que não é o local, para o meu problema mas estou com um problema, talvez me possa ajudar Estou experimentando o Elementary OS, acabei de instalar o driver proprietário da Nvidia que diz (Recomendado). Desde que fiz isso, o sistema me inicia diretamente como se estivesse no terminal, ou seja, não carrega o aspecto gráfico. Quando entro com a segunda opção (modo de recuperação) e escolho a opção de continuar o salto normal, aí se levanta a parte gráfica. De agora em diante desculpe por postar isso aqui e espero que você possa me ajudar. Felicidades
Alguém para me guiar:
Consegui instalar o certificado no Firefox e no Qupzilla. Mas agora que reinstalei o Maxthon, não descobri como fazer para instalar o certificado. Alguém que o fez?
Obrigado
Eu apenas tentei, mas aparentemente, embora seja baseado no Chrome, ele não tem essas opções.
Dica curiosa ... Então eles não têm o admin do wordpress com https? Hmmm Parece um restaurante de hacker ... Eu recomendo «Segurança para manequins» 😛
Willians, como existe confiança e nos conhecemos há anos, direi claramente, vocês podem receber críticas não construtivas ... você sabe onde.
Para foder e incomodar por outra parte ¬_¬
Sem pretender cair em uma competição de ofensas de dicionário em que você deveria acreditar em mim quando digo que você tem tudo a perder, gostaria de sugerir que vá além da zombaria de minhas palavras - ou da ponta do seu nariz.
Há uma ideia neles que, apelando para o seu intelecto (definitivamente me enganei, desculpe por superestimá-lo), presumi que você seria capaz de assimilar de uma forma suficientemente construtiva e não com a perrética / catarse de um - velha criança com a qual você o assumiu.
Deixando de lado o apoio ao mal-entendido social, e caso você ainda esteja lendo estas linhas (pode ser que eu tenha superestimado você novamente e agora você esteja mordendo uma toalha no modo Controle da Raiva), eu lhe digo, como um resumo do meu ideia, acho curioso que alguém que escreveu tantos posts que têm a ver com segurança em sistemas, sejam eles web ou de qualquer outro tipo, mantenha - depois de vários anos desde que o fez desdelinux- a interface de administração do blog usando http simples.
Nunca perguntei e a verdade é que não tive interesse em saber, mas sempre presumi que o administrador do desdelinux Ele funcionou - como medida de segurança primária - em https (e não como uma opção, mas não como A OPÇÃO).
Nada, vai passar. No momento ele assume tudo isso como mais uma contribuição, sozinha. Guarde a pedra de amolar da "crítica não construtiva" para aqueles que realmente a merecem.
Seu parceiro ainda é willians
Muito interessante, gostei de ler. Depois de tantos comentários, não é fácil acrescentar algo, mas tenho uma pergunta.
A partir do momento em que os usuários visitam, comentam, etc. Em outros sites, sua segurança ainda está exposta. Por essa razão não vejo utilidade, a menos que se limitem apenas a DesdeLinux.
Saudações.
O StartSSL fornece certificados válidos como empresas pagas, mas totalmente grátis 🙂
Até agora, parece estar funcionando bem. É um bom começo.
Eles não tentaram com https://www.startssl.com/ oferece certificados gratuitos, outra boa opção é https://www.cacert.org/, dias atrás eu li esta postagem https://www.sslshopper.com/article-free-ssl-certificates-from-a-free-certificate-authority.html