Pesquisa de site

Sua exposição ao risco de redirecionamento de HTTPS

O Hypertext Transfer Protocol (HTTP) e o Hypertext Transfer Protocol Secure (HTTPS) são protocolos de comunicação de dados para a Internet. O HTTPS usa algoritmos de criptografia para transferência segura de dados. Sem comunicações criptografadas, a transferência de informações não é protegida e os dados confidenciais se tornam vulneráveis a invasores.

Este artigo inclui uma breve visão geral do HTTPS, bem como ações que você pode tomar para garantir que você configurou o redirecionamento de HTTPS para seu site. Migrar seu site para usar HTTPS é uma prática recomendada de segurança cibernética.

O que é o Hypertext Transfer Protocol Secure (HTTPS)?

O HTTPS usa o Transport Layer Security (TLS), anteriormente Secure Sockets Layer (SSL), para criptografia e autenticação entre servidores. Seu site precisará de um certificado SSL/TLS para usar HTTPS.

Um localizador uniforme de recursos (URL) é o tipo mais comum de identificador uniforme de recursos (URI). Os URLs de sites fornecem o nome de domínio que corresponde a um endereço IP onde o site está localizado. Os usuários podem se conectar a esse site porque o DNS (Sistema de Nomes de Domínio) fornece o roteamento apropriado para seu site. Os sites podem ser acessados por HTTP ou HTTPS, embora o protocolo HTTPS seja recomendado para fins de segurança.

Como o tráfego HTTP não é criptografado, os dados transferidos não são seguros. Agentes mal-intencionados podem interceptar dados confidenciais, como credenciais de login do usuário ou informações de pagamento de comércio eletrônico, e usá-los indevidamente para seus próprios fins. A responsabilidade de uma organização para com usuários e clientes exige que a organização tome as medidas recomendadas para garantir uma experiência de usuário confiável.

Exigir HTTPS e impor HTTPS Strict Transport Security (HSTS) protege a privacidade dos usuários e cria confiança de que os usuários podem confiar nas políticas de segurança da sua organização para proteger seus dados. Os mecanismos de pesquisa também avaliarão o HTTPS para sua classificação de otimização de mecanismo de pesquisa (SEO).

A maioria dos proprietários de sites configurará HTTPS para seu site. Ao inserir um site na barra de pesquisa do seu navegador, a maioria das pessoas normalmente não fornece o front matter [.rt-script]https://[.rt-script], embora muitos sites carreguem a conexão HTTPS segura (que exibe um cadeado ao lado do URL). Esse cadeado aparece somente se o site tiver sido configurado com HTTPS.

O cadeado HTTPS

Se um site não tiver HTTPS ativado, a maioria dos navegadores carregará um aviso de que o site não é seguro. Se você carregar um site que fornece avisos sobre a falta de proteção, deve proceder com cautela antes de enviar qualquer informação. Alguns locais serão identificados como inseguros ou perigosos. Ao receber um aviso de página inteira, você deve considerar evitar totalmente esse site. Os navegadores baseados no Chrome e no Chromium fornecem dois avisos separados sobre a falta de segurança: um não seguro informativo versus um não seguro perigoso.

Avisos do Chromium para sites inseguros

Se você pode acessar seu site por HTTP, seus usuários provavelmente também podem fazer isso. Você deve tomar medidas para garantir sessões criptografadas por HTTPS.

Descobertas comuns de HTTP e HTTPS

Ao configurar suas políticas HTTPS para comunicações criptografadas, você também deve garantir que o HTTP não esteja disponível para conexões. A imposição de uma política HTTPS estrita garantirá que seus usuários estejam sempre se conectando por HTTPS para que suas credenciais e outras informações confidenciais permaneçam criptografadas.

É possível, no entanto, que você esqueça de não permitir conexões HTTP e não perceba isso por algum tempo. Uma ferramenta de monitoramento contínuo, como o UpGuard BreachSight, pode ajudá-lo a identificar se seus ativos estão usando HTTPS ou se ainda permitem tráfego por HTTP.

O UpGuard BreachSight verifica uma variedade de riscos HTTP/HTTPS e notifica os usuários sobre quaisquer ativos afetados por estas descobertas de risco comuns:

  • Redirecionamento HTTPS não suportado
  • HTTP não redireciona para HTTPS
  • HTTP Strict Transport Security (HSTS) não aplicado
  • Porta HTTP aberta
  • Cookies HttpOnly não usados e cookies seguros não usados

Sem o redirecionamento HTTPS, os usuários podem estabelecer conexões não criptografadas e passar dados confidenciais em texto simples. Certifique-se de que o HTTP redirecione para HTTPS para que apenas conexões criptografadas sejam permitidas, protegendo assim os dados dos usuários. Se o HTTP permanecer disponível em seu site em qualquer método, até mesmo a integridade do HTTPS existente poderá ser prejudicada.

Às vezes chamada de verificação HTTP ainda disponível, a falta de redirecionamento HTTPS significa que seu servidor web entregará uma página acessada pela porta HTTP ([.rt-script]80[.rt-script]). Como resultado, seu servidor falhará nessa verificação de segurança. Uma resposta de redirecionamento adequada da porta HTTP para a postagem HTTPS ([.rt-script]443[.rt-script]) passará nesta verificação.

Se o seu site incluir cookies para gerenciamento de sessão, personalização do usuário ou rastreamento analítico, talvez seja necessário atualizar os cabeçalhos dos cookies para acomodar a transferência segura de dados. A configuração segura de cookies protege os cookies em trânsito de serem interceptados como texto simples.

Você também pode configurar o HTTP Strict Transport Security (HSTS) para exigir o uso de HTTPS para que nenhuma conexão HTTP seja permitida do servidor. O UpGuard também verifica estas descobertas do HSTS:

  • HTTP Strict Transport Security (HSTS) não aplicado
  • O cabeçalho HSTS não contém incluir Subdomínios
  • O domínio não foi encontrado na lista de pré-carregamento do HSTS

As descobertas do HSTS indicam se você precisa atualizar suas definições de configuração para impor o redirecionamento, especificar subdomínios do seu domínio e cumprir os requisitos da lista de pré-carregamento do HSTS.

Além disso, o UpGuard verifica as descobertas de TLS/SSL, como o risco de SSL não disponível e os riscos relacionados à expiração do certificado SSL. Sem um certificado SSL atual, os usuários não poderão se autenticar por meio de uma conexão HTTPS.

Como mitigar a exposição ao risco de HTTP/HTTPS

Depois de entender a exposição ao risco HTTP/HTTPS em sua superfície de ataque externa, você pode tomar medidas para melhorar seus métodos de criptografia e proteger sua superfície de ataque externa.

Certifique-se de que as políticas do lado do servidor estejam em vigor para redirecionar as conexões HTTP para sua contraparte HTTPS. Diferentes configurações de servidor e plataformas de hospedagem exigem abordagens diferentes para seus arquivos de configuração. Algumas configurações comumente usadas incluem as seguintes opções:

  • Para alguns sites, o arquivo [.rt-script].htaccess[.rt-script] pode ser modificado para redirecionar solicitações para HTTPS. Para uma plataforma de hospedagem compartilhada, você pode atualizar o arquivo [.rt-script].htaccess[.rt-script] do seu cPanel. Certifique-se de definir as condições de redirecionamento com uma regra de reescrita.
  • Se você usa um servidor web Nginx, pode ser necessário atualizar o bloco do servidor em seus arquivos de configuração. Certifique-se de definir a diretiva [.rt-script]server_name[.rt-script] com seu domínio (como [.rt-script]server_name domain.com www.domain.com[.rt-script], substituindo "domain.com" pelo seu domínio).
  • Se você usar um servidor Web Apache, poderá configurar o redirecionamento no arquivo de configuração do Virtual Host.
  • Para o Microsoft Internet Information Services (IIS), o módulo de reescrita de URL permitirá que você redirecione solicitações HTTP para HTTPS.
  • Você pode usar um plug-in disponível para sites WordPress ou atualizar manualmente as configurações do site.

Ative o HTTP Strict Transport Security (HSTS) para forçar conexões HTTPS a uma versão HTTPS do seu site e bloquear todas as tentativas de comunicação não criptografada. Para configurar o HSTS, crie um cabeçalho HSTS válido com os seguintes parâmetros:

Inclua o cabeçalho [.rt-script]Strict-Transport-Security[.rt-script] para o seu sistema e especifique as seguintes informações:

  • A diretiva [.rt-script]includeSubDomains[.rt-script] garante que todos os subdomínios no sistema usem HTTPS.
  • Inclua [.rt-script]preload[.rt-script] se você enviou seu domínio para o serviço de pré-carregamento Chromium HSTS, que fará conexões automaticamente usando HTTPS para a maioria dos navegadores. Observe que os documentos de implantação da lista de pré-carregamento do HSTS não recomendam a inclusão do pré-carregamento por padrão, pois isso pode afetar o acesso ao subdomínio.
  • Forneça um valor [.rt-script]max-age[.rt-script] que defina por quanto tempo (em segundos) um navegador deve se lembrar de acessar o site exclusivamente por HTTPS. Se você pretende enviar seu domínio para o serviço de pré-carregamento do HSTS, o [.rt-script]max-age[.rt-script] deve ser definido como pelo menos um ano ([.rt-script]31536000[.rt-script] segundos), embora dois anos ([.rt-script]36072000[.rt-script] segundos) seja o valor recomendado pelos requisitos do serviço de pré-carregamento do HSTS.

Se o seu aplicativo ou servidor Web distribuir cookies, defina suas configurações para exigir os atributos [.rt-script]Secure[.rt-script] e [.rt-script]HttpOnly[.rt-script] e confirme se o certificado SSL está configurado corretamente. O atributo [.rt-script]Secure[.rt-script] restringe os cookies de autenticação apenas a canais criptografados. O atributo [.rt-script]HttpOnly[.rt-script] garante que apenas o navegador da web possa acessar cookies, o que estabelece um nível de proteção contra ataques de cross-site scripting (também conhecidos como ataques XSS). Você pode usar a sintaxe do cabeçalho de resposta HTTP [.rt-script]Set-Cookie[.rt-script] para especificar atributos, como acontece com o seguinte código:

>

Forneça o nome do cookie, o valor do cookie e o valor do seu domínio. Opcionalmente, você pode adicionar atributos de expiração, caminhos obrigatórios, solicitações no mesmo site ou entre sites e outros atributos em seu cabeçalho [.rt-script]Set-Cookie[.rt-script].

Depois de atualizar o redirecionamento de HTTPS, você pode atualizar o mapa do site e fornecer o URL HTTPS para o Google Analytics, o Google AdSense e o Search Console. Fornecer a atualização do URL HTTPS para plataformas de análise fornecerá um rastreamento aprimorado para a versão HTTPS do seu site.

Auditorias adicionais, como testes de penetração ou análises regulares de logs de segurança de rede, podem descobrir quaisquer conexões HTTP adicionais (porta [.rt-script]80[.rt-script]) que estão sendo feitas.

O UpGuard BreachSight verifica uma variedade de riscos HTTP/HTTPS, incluindo HTTP ainda disponível e redirecionamento HTTPS não suportado. Se você receber qualquer uma dessas descobertas, nosso sistema identificará quais domínios e endereços IP não têm a política de redirecionamento e ainda fornecerá acesso por meio de URLs HTTP. Você pode identificar quais domínios ou endereços IP são afetados e atualizar as definições de configuração.

Os usuários atuais do UpGuard com o recurso BreachSight podem fazer login e acessar seu perfil de risco para pesquisar esses riscos entre seus ativos. Você pode entrar em contato com nossa equipe de suporte para investigar e verificar quaisquer descobertas HTTP/HTTPS que tenham sido identificadas para seus ativos.

Se você não é um usuário atual do UpGuard e deseja verificar seus ativos com o BreachSight, inscreva-se para uma avaliação.

Artigos relacionados