Segurança: entenda os problemas de segurança

Kayce Basco
Kayce Basques
Twitter GitHub Glitch

Use o painel Segurança no Chrome DevTools para garantir que o HTTPS esteja implementado corretamente em uma página. Consulte Por que o HTTPS é importante para saber por que todos os sites devem ser protegidos com HTTPS, mesmo aqueles que não processam dados confidenciais do usuário.

Abrir o painel de segurança

O painel Segurança é o local principal no DevTools para inspecionar a segurança de uma página.

  1. Abra o DevTools.

  2. Clique na guia Segurança para abrir o painel Segurança.

    Painel de segurança

    Figura 1. Painel de segurança

Problemas comuns

Origens principais não seguras

Quando a origem principal de uma página não é segura, a Visão geral de segurança diz Esta página não é segura.

Uma página não segura

Figura 2. Uma página não segura

Esse problema ocorre quando o URL que você visitou foi solicitado por HTTP. Para garantir a segurança, você precisa solicitá-lo por HTTPS. Por exemplo, se você observar o URL na barra de endereço, ele provavelmente será semelhante a http://example.com. Para garantir a segurança, o URL precisa ser https://example.com.

Se o HTTPS já estiver configurado no seu servidor, tudo o que você precisará fazer para corrigir esse problema é configurar o servidor para redirecionar todas as solicitações HTTP para HTTPS.

Se você não tiver o HTTPS configurado no servidor, o Let's Encrypt (em inglês) oferece uma maneira sem custo financeiro e relativamente fácil de iniciar o processo. Outra opção é hospedar o site em uma CDN. Agora, a maioria das principais CDNs hospedam sites em HTTPS por padrão.

Dica: a auditoria Redirecionar tráfego HTTP para HTTPS no Lighthouse pode ajudar a automatizar o processo para garantir que todas as solicitações HTTP sejam redirecionadas para HTTPS.

Conteúdo misto

Conteúdo misto significa que a origem principal de uma página é segura, mas a página solicitou recursos de origens não seguras. As páginas de conteúdo misto são apenas parcialmente protegidas porque o conteúdo HTTP é acessível a detectores e vulnerável a ataques "man-in-the-middle".

Conteúdo misto

Figura 3. Conteúdo misto

Na Figura 3 acima, clicar em Ver 1 solicitação no painel Rede abre o painel Rede e aplica o filtro mixed-content:displayed para que o Registro de rede mostre apenas recursos não seguros.

Recursos mistos no registro de rede

Figura 4. Recursos mistos no registro de rede

Acessar detalhes

Ver certificado de origem principal

Em Visão geral de segurança, clique em Ver certificado para inspecionar rapidamente o certificado da origem principal.

Um certificado de origem principal

Figura 5. Um certificado de origem principal

Mais detalhes da origem

Clique em uma das entradas no painel de navegação à esquerda para ver os detalhes da origem. Na página de detalhes, é possível visualizar as informações de conexão e do certificado. As informações de transparência dos certificados também são mostradas quando disponíveis.

Principais detalhes da origem

Figura 6. Principais detalhes da origem