• Pagina inicial
  • Artigos
  • Blogging
  • Como resolver o problema: não foi possível estabelecer uma relação de confiança para o canal seguro SSL/TLS com erro de autoridade

Como resolver o problema: não foi possível estabelecer uma relação de confiança para o canal seguro SSL/TLS com erro de autoridade

Publicados: 2024-03-13

Quando você vê a mensagem “Não foi possível estabelecer uma relação de confiança para o canal seguro SSL/TLS com autoridade”, isso sinaliza uma falha no canal de comunicação seguro entre seu aplicativo cliente e o servidor. Esse problema está profundamente enraizado no protocolo SSL/TLS, que é a espinha dorsal da troca segura de dados na Internet. SSL (Secure Socket Layer) e TLS (Transport Layer Security) são protocolos criptográficos projetados para fornecer segurança nas comunicações em uma rede de computadores.

O problema normalmente surge quando o aplicativo cliente não confia no certificado SSL/TLS apresentado pelo servidor. Isso pode ocorrer por vários motivos, como o certificado ser autoassinado, expirado ou não ter sido emitido por uma Autoridade de Certificação (CA) confiável. Para compreender a complexidade desta questão, é necessário compreender a mecânica de como as conexões seguras são estabelecidas e o papel dos certificados neste processo. Os certificados servem como passaportes digitais, verificando a identidade do servidor para o cliente, garantindo que a entidade com a qual você está se comunicando é realmente quem afirma ser.

Noções básicas sobre SSL e TLS

SSL (Secure Sockets Layer) e TLS (Transport Layer Security) servem como base para proteger as comunicações online. Eles criptografam dados e autenticam conexões, garantindo que informações confidenciais, como detalhes pessoais e de pagamento, permaneçam confidenciais durante a transmissão entre o navegador de um usuário e o servidor de um site. Apesar do objetivo comum, é essencial reconhecer as diferenças entre SSL e TLS. Notavelmente, o TLS é uma versão atualizada e mais segura do SSL, projetada para solucionar vulnerabilidades encontradas em protocolos SSL anteriores.

A necessidade de SSL/TLS para segurança de sites não pode ser exagerada. O processo começa quando um usuário tenta acessar seu site; o navegador deles primeiro verifica a validade do seu certificado SSL. Após a validação, uma conexão criptografada é estabelecida, protegendo a troca de dados contra possíveis espionagens ou adulterações.

Vários tipos de certificados SSL são adaptados a diferentes necessidades:

Certificados de domínio único : ideais para proteger um site, fornecendo uma solução simples para sites individuais.

Certificados curinga : um avanço, esses certificados protegem um único domínio junto com seus subdomínios, oferecendo uma solução flexível para empresas que operam diversas frentes de serviço em um domínio principal.

Certificados Wildcard Multi-Domínio : A opção mais versátil, perfeita para organizações com vários sites e subdomínios.Esse tipo elimina a necessidade de certificados separados para cada domínio, simplificando o gerenciamento e a implantação.

Provedores de hospedagem de qualidade, reconhecendo a importância do SSL/TLS, geralmente incluem certificados SSL gratuitos como parte de seus planos de hospedagem. Essa inclusão remove uma barreira de entrada para hospedagem segura na web, tornando mais fácil para os proprietários de sites adotarem HTTPS. Por exemplo, provedores como o 10Web oferecem certificados SSL gratuitos da Let's Encrypt e aproveitam a integração do Cloudflare. Esses pacotes de hospedagem trazem benefícios adicionais, como medidas de segurança aprimoradas, infraestrutura com velocidade otimizada e ferramentas avançadas de monitoramento de desempenho.

Para aqueles com requisitos específicos ou que preferem uma autoridade de certificação diferente, adquirir um certificado SSL personalizado de entidades confiáveis ​​como Comodo ou DigiCert é outro caminho viável. Independentemente da fonte, as etapas críticas pós-aquisição incluem a instalação adequada do certificado SSL em seu servidor e a garantia de que ele funciona corretamente para manter o status seguro do seu site.

Em essência, a integração de SSL/TLS ao protocolo de segurança do seu site não é apenas uma prática recomendada, mas um requisito fundamental no cenário digital atual. Ele não apenas protege os dados dos usuários, mas também aumenta a credibilidade e confiabilidade do seu site aos olhos dos visitantes e dos mecanismos de pesquisa. Quer você opte pela conveniência do SSL gratuito de um provedor de hospedagem ou pela personalização de um certificado adquirido, a chave está na instalação e manutenção diligentes para garantir segurança e desempenho contínuos.

Variações do problema

Esse problema de relação de confiança SSL/TLS pode se manifestar em vários ambientes e plataformas, incluindo navegadores da web, clientes de e-mail, conexões API e qualquer software que dependa de conexões seguras pela Internet. A mensagem de erro pode diferir ligeiramente dependendo do contexto ou do software que você está usando, mas a essência permanece a mesma. Algumas variações comuns incluem:

  • A conexão subjacente foi fechada: não foi possível estabelecer uma relação de confiança para o canal seguro SSL/TLS.
  • A relação de confiança entre a estação de trabalho e o domínio primário falhou.
  • Erro: não foi possível estabelecer uma relação de confiança para o canal seguro SSL/TLS com autoridade '[Nome da autoridade]'.
  • Problema com certificado SSL: não é possível obter o certificado do emissor local.
  • A solicitação foi anulada: não foi possível criar um canal seguro SSL/TLS.

Razões pelas quais esse erro ocorre

Certificado SSL/TLS expirado : assim como seu passaporte, os certificados SSL/TLS têm uma data de validade.Se um certificado expirar, o cliente se recusará a estabelecer uma conexão segura com o servidor.

Certificados autoassinados : para fins de desenvolvimento, os servidores geralmente usam certificados autoassinados.No entanto, eles não são confiáveis ​​para aplicativos clientes, a menos que sejam explicitamente adicionados ao armazenamento confiável, levando a esse erro.

Nomes de domínio incompatíveis : O nome de domínio no certificado deve corresponder ao nome de domínio que está sendo acessado.Se houver uma discrepância, o cliente sinalizará a conexão como não confiável.

Certificado não emitido por uma autoridade confiável : navegadores e aplicativos clientes possuem uma lista predefinida de CAs confiáveis.Se o certificado do servidor não for emitido por uma destas autoridades, o cliente não estabelecerá uma ligação confiável.

Certificados intermediários ausentes : às vezes, o servidor falha em fornecer a cadeia completa de confiança, omitindo certificados intermediários.Os clientes que não conseguirem verificar o caminho completo rejeitarão a conexão.

Resolvendo o erro Não foi possível estabelecer relação de confiança

Tendo explorado os motivos típicos por trás do erro “Não foi possível estabelecer uma relação de confiança para o canal seguro SSL/TLS com autoridade”, vamos nos aprofundar nas estratégias para abordá-lo e resolvê-lo.

Identificando a causa do erro

Primeiro, identificar a causa raiz do erro é essencial. O método para fazer isso varia de acordo com o navegador através do qual você está acessando o site.

Safári

Informações do certificado SSL do Safari

  1. Clique no botão “Mostrar detalhes” quando encontrar o erro. Esta ação revela mais informações sobre o aviso de segurança.
  2. Selecione para visualizar o certificado do site. Esta revisão pode revelar que o certificado do site expirou ou está usando um certificado autoassinado, que não é confiável por padrão, pois não possui verificação de terceiros.

cromada

SSL autoassinado do Chrome

  1. Clique no aviso “Não seguro” próximo ao URL do site na barra de endereço para ter uma ideia geral do problema.
  2. Para mais detalhes, clicar em “Certificado inválido” abre um pop-up com os detalhes do certificado, como datas de emissão e expiração, e a Autoridade Certificadora (CA).

Depois de identificar a causa raiz, você pode prosseguir com as seguintes soluções:

Atualize ou instale um certificado confiável

  • Se o problema for devido a um certificado autoassinado, considere substituí-lo por um emitido por uma CA reconhecida. Isso garante a confiança do navegador e protege sua transferência de dados.
  • Renove o certificado antes da data de expiração para evitar problemas de confiança. Verifique regularmente a validade dos seus certificados para evitar erros inesperados.

Ajuste as configurações de segurança do seu navegador

Navegue até as configurações de segurança do seu navegador. Embora não seja recomendado para navegação diária, você pode optar por diminuir temporariamente as configurações de segurança para contornar o erro. No entanto, certifique-se de compreender os riscos associados à aceitação de certificados não verificados.

Solução de problemas gerais

Configurações corretas de data e hora

Uma das verificações mais simples, porém cruciais, é garantir que as configurações de data e hora do seu dispositivo estejam precisas. Configurações incorretas podem levar a falhas na validação do certificado SSL porque o sistema pode pensar que o certificado expirou, quando na verdade não expirou.

Mac

Página de data e hora nas configurações do Mac

Navegue até Preferências do Sistema > Data e Hora. Se forem necessárias alterações, clique no ícone de cadeado na parte inferior para fazer ajustes. Você pode definir a hora automaticamente ou manualmente para garantir que esteja correta.

Atualizações do sistema e do navegador

Software desatualizado não é apenas um risco à segurança, mas também pode causar problemas de compatibilidade com certificados SSL/TLS. Garantir que seu sistema operacional e navegador estejam atualizados é crucial.

Atualizando macOS

Janela de atualização do sistema Mac

  1. Vá para Preferências do Sistema > Atualização de Software.
  2. Se uma atualização estiver disponível, siga as instruções para baixá-la e instalá-la.

Atualizando o Google Chrome

Página de ajuda do Chrome com atualizações do Chrome selecionadas

  1. No Chrome, clique nos três pontos no canto superior direito para abrir o menu.
  2. Passe o mouse sobre Ajuda e selecione Sobre o Google Chrome.
  3. O Chrome verificará automaticamente se há atualizações. Se uma atualização for encontrada, siga as instruções para instalá-la e reinicie o navegador.

Essas etapas são semelhantes na maioria dos navegadores, embora a navegação exata possa variar. Certifique-se sempre de estar executando a versão mais recente do software para evitar problemas desnecessários.

Por que essas etapas são importantes

Precisão de data e hora : os certificados SSL/TLS têm um período de validade específico.Se o relógio do seu sistema estiver configurado incorretamente, ele poderá disparar erros indicando que um certificado ainda não é válido ou expirou.

Atualizações de software : as atualizações geralmente incluem patches de segurança e correções para problemas conhecidos.Executar a versão mais recente do seu sistema operacional e navegador garante que você não encontre erros devido a vulnerabilidades já resolvidas ou problemas de compatibilidade.

Soluções por erro

Como solucionar o erro depende do que foi identificado como a causa do erro. Aqui estão algumas soluções baseadas em causas comuns.

Incompatibilidade de nome

Quando o nome comum no seu certificado SSL não corresponde ao domínio que você está tentando acessar, os navegadores simplesmente não permitem sua entrada sem as credenciais corretas. Essa incompatibilidade é um problema comum, mas, felizmente, com soluções simples.

O nome comum (CN) do certificado SSL atua como sua identidade, informando ao seu navegador que o site ao qual ele está se conectando é realmente quem afirma ser. Quando há uma incompatibilidade – digamos, o certificado é parawww.example.com , mas você está tentando acessar example.com– o navegador levanta uma bandeira vermelha, resultando no erro “Não foi possível estabelecer relação de confiança”.

Este problema surge frequentemente devido ao prefixo “www”. Muitos usuários podem não incluí-lo ao digitar um endereço da web, por isso é crucial que o certificado SSL do seu site reconheça ambos.

Alinhando seu certificado SSL com seu domínio

Domínio único

Se o seu certificado for válido apenas para uma versão específica do seu domínio (com ou sem “www”), eis o que você precisa fazer:

  1. Primeiro, confirme a incompatibilidade verificando os detalhes do certificado. A maioria dos navegadores permite que você visualize o certificado clicando no ícone de cadeado próximo ao URL, onde você pode encontrar o nome comum na seção de detalhes ou caminho de certificação.
  2. Entre em contato com sua autoridade de certificação (CA) ou provedor de SSL para emitir um novo certificado que corresponda ao nome de domínio que os usuários provavelmente usarão. O ideal é optar por um certificado que cubra tanto a versão “www” quanto a versão não www do seu domínio para cobrir todas as bases.

Vários domínios

Se você tiver a flexibilidade de um certificado de vários domínios, estará em melhor posição para resolver esse problema rapidamente:

Os Nomes Alternativos de Assunto (SANs) permitem que seu certificado seja válido para vários nomes de domínio. Você pode adicionar a versão “www” do seu domínio (ou removê-la) ajustando os SANs por meio do painel de controle do seu provedor SSL ou entrando em contato diretamente com eles para obter assistência.

Certificado SSL expirado

Usar um certificado SSL expirado não apenas arrisca sua credibilidade, mas também pode expor seus visitantes a atividades nefastas, incluindo roubo de dados. Vamos detalhar o processo de proteção do seu site com um novo certificado.

Instalando um certificado SSL válido

Renovar prontamente o seu certificado SSL é fundamental para manter uma conexão segura entre o seu site e seus usuários. Veja como fazer isso:

  1. Entre em contato com a CA que emitiu seu certificado original. A maioria das CAs envia avisos de renovação conforme a data de expiração se aproxima, mas se a sua ainda não o fez, tome a iniciativa de contatá-los diretamente.
  2. Antes de renovar seu certificado, talvez seja necessário gerar um novo CSR do seu servidor. Este processo varia dependendo do seu ambiente de hospedagem, portanto consulte o seu provedor de hospedagem ou a documentação do servidor para obter instruções específicas.
  3. Depois de ter seu CSR, envie-o à sua CA. Eles usarão as informações do CSR para criar um novo certificado SSL para o seu site.
  4. Depois que sua CA emitir o novo certificado, você precisará instalá-lo em seu servidor. Novamente, as etapas exatas dependerão da configuração da sua hospedagem, portanto, consulte as diretrizes do seu provedor ou peça ajuda à equipe de suporte.

Não presuma apenas que tudo está funcionando; verifique se seu novo certificado está instalado corretamente. Ferramentas como o teste SSL do SSL Labs podem ajudá-lo a confirmar se seu site é seguro e se o SSL está funcionando conforme o esperado.

Configure lembretes para renovações futuras

Esquecer de renovar seu certificado SSL pode levar a tempos de inatividade desnecessários e riscos de segurança. Veja como evitar isso:

  • Pode parecer básico, mas configurar um lembrete no calendário é uma forma eficaz de lembrar a data de renovação. Defina o lembrete algumas semanas a um mês antes do vencimento real, dando-lhe tempo suficiente para agir.
  • Dependendo da sua CA, você poderá configurar renovações automáticas para o seu certificado SSL. Este serviço automatiza o processo de renovação, garantindo que o seu certificado esteja sempre atualizado sem intervenção manual.
  • Use ferramentas de monitoramento que procuram especificamente a validade do SSL e alertam quando o certificado está próximo da data de expiração. Alguns provedores de hospedagem oferecem isso como parte de seu pacote de serviços.

Um certificado SSL atualizado é a sua primeira linha de defesa contra certos tipos de ameaças cibernéticas. Ele criptografa os dados transmitidos entre o seu servidor e os navegadores dos visitantes, protegendo informações confidenciais contra interceptação. Além disso, reforça a credibilidade do seu site, pois os navegadores exibem avisos de segurança para sites com certificados expirados, o que pode dissuadir visitantes e prejudicar a sua reputação.

O monitoramento regular e uma estratégia de renovação proativa são fundamentais para manter esse aspecto essencial da infraestrutura de segurança do seu site.

Adicionar certificado ao armazenamento confiável

Quando o navegador sinaliza um aviso de segurança devido a uma autoridade de certificação (CA) não confiável, adicionar o certificado ao seu armazenamento confiável é uma solução alternativa comum, especialmente em ambientes onde a CA é conhecida por ser segura (como redes internas). Vejamos como você pode fazer isso tanto no Safari para usuários de Mac quanto em ambientes Windows.

Usuários do Safari no Mac

Para certificados individuais:

Adicionando certificado ao safari de loja confiável

  1. Navegue até o site que está causando o problema de confiança, clique no ícone de cadeado (ou indicador de segurança semelhante) próximo ao URL e selecione “Exibir o certificado”.
  2. Na janela de informações do certificado, expanda a seção “Confiança”. Aqui, você encontrará um menu suspenso para “Ao usar este certificado”. Defina-o como “Sempre Confiar”.

Para todos os certificados:

  1. Use o ponto de interrogação ou o ícone de “ajuda” no pop-up do certificado para iniciar o Keychain Access diretamente ou abra-o manualmente em Aplicativos> Utilitários.
  2. No Keychain Access, em “System Roots”, encontre a seção “Certificados”. Aqui você pode revisar todos os certificados instalados.
  3. Encontre o certificado em questão, clique com o botão direito e escolha “Obter informações”. Na seção de confiança desta janela de informações, você pode modificar as configurações para “Sempre confiar”.

Usuários do Windows

adicionando certificado a janelas de armazenamento confiável

  1. Clique na tecla Windows e digite “mmc” na barra de pesquisa e abra o console.
  2. Vá para Arquivo> Adicionar/Remover Snap-in, selecione “Certificados” e clique em “Adicionar”. Escolha “Conta de computador”, depois “Computador local” e finalize com “OK”.
  3. Navegue até “Autoridades de certificação raiz confiáveis”. Clique com o botão direito, selecione “Todas as tarefas” e depois “Importar”. O Assistente de importação de certificados irá guiá-lo na seleção e importação do arquivo de certificado.
  4. Siga as instruções do assistente para localizar e importar o certificado. Confirme a ação e feche o MMC. Pode ser necessário reiniciar o navegador ou computador para que as alterações tenham efeito.

adicionando certificado ao Windows 2 de armazenamento confiável

Ajustar as configurações de confiança ou importar certificados para o armazenamento confiável é uma maneira poderosa de gerenciar avisos de segurança e controles de acesso. No entanto, é vital proceder com cautela.

  • Ajuste apenas as configurações de confiança ou adicione certificados para CAs ou sites em que você confia totalmente. A confiança perdida pode expô-lo a vulnerabilidades de segurança.
  • Use esse método criteriosamente, principalmente para redes internas ou ambientes de desenvolvimento. Para sites públicos, certifique-se de que os certificados sejam emitidos por CAs reconhecidas e confiáveis.

Certificados autoassinados podem ser uma faca de dois gumes. Eles oferecem uma maneira rápida e gratuita de criptografar dados transmitidos entre seu servidor e seus usuários, tornando-os uma opção atraente para determinados cenários, como desenvolvimento e teste. No entanto, as desvantagens tornam-se aparentes quando você entra no mundo mais amplo da Internet, onde a confiança e a segurança são fundamentais.

Certificado autoassinado

Um certificado autoassinado é essencialmente um certificado assinado pelo indivíduo ou organização que o criou, e não por uma autoridade de certificação (CA) confiável. Isso significa que, embora possa fornecer criptografia, falta a verificação de terceiros na qual os navegadores e usuários confiam para confiar na segurança da conexão.

Os principais navegadores e sistemas operacionais confiam em certificados de CAs reconhecidas porque essas autoridades têm processos de verificação rigorosos. Um certificado autoassinado não passou por esse escrutínio, levando os navegadores a alertar os usuários sobre a segurança da conexão, o que pode dissuadir os visitantes e prejudicar a credibilidade do seu site.

Se um certificado autoassinado estiver comprometido (por exemplo, a chave privada vazou), não há como revogá-lo. As CAs confiáveis, por outro lado, mantêm listas de certificados revogados (CRLs e usam OCSP), permitindo que os navegadores verifiquem o status do certificado em tempo real e bloqueiem conexões potencialmente comprometidas.

Transição para um certificado assinado por CA

Para sites públicos, migrar para um certificado assinado por uma CA é crucial para estabelecer confiança e segurança. Veja como fazer a troca:

  • Pesquise e selecione uma CA confiável. Existem várias CAs respeitáveis, incluindo algumas que oferecem certificados gratuitamente, como Let's Encrypt.
  • Esta solicitação contém sua chave pública e detalhes sobre sua organização. O software do seu servidor web geralmente pode gerar um CSR para você.
  • Depois de escolher sua CA, você precisará enviar seu CSR a eles. A CA verificará seu domínio e, potencialmente, outras informações organizacionais, dependendo do tipo de certificado que você está solicitando (DV, OV ou EV).
  • Depois que a CA emitir seu certificado, você precisará instalá-lo em seu servidor web. O processo de instalação varia dependendo do software do seu servidor, portanto siga as instruções fornecidas pela sua CA ou provedor de hospedagem.
  • Use ferramentas como o teste de servidor SSL da SSL Labs para garantir que seu certificado esteja instalado corretamente e que seu site esteja seguro.
  • Se sua CA oferecer suporte (como Let's Encrypt), a configuração da renovação automática garante que seu certificado permaneça válido sem intervenção manual, evitando expiração inesperada.

Pensamentos finais

Ao longo deste blog, navegamos pelas complexidades dos erros de certificado SSL/TLS e como eles podem afetar a segurança do seu site e a confiança do usuário. Desde a identificação da causa raiz do erro “Não foi possível estabelecer uma relação de confiança” até a exploração de cenários específicos, como incompatibilidades de certificados, expiração, CAs não confiáveis ​​e uso de certificados autoassinados, cobrimos uma variedade de soluções para proteger seu site . Seja ajustando as configurações de confiança do navegador, renovando ou substituindo certificados ou fazendo a transição de certificados autoassinados para certificados assinados por CA, a importância de manter comunicações digitais seguras e confiáveis ​​tem sido um tema central. A implementação destas medidas não só aumenta a segurança do site, mas também aumenta a confiança do utilizador, garantindo uma experiência de navegação tranquila e segura.

Acelere a criação do seu site WordPress com IA

Crie um site WordPress personalizado, adaptado às necessidades do seu negócio, 10 vezes mais rápido com o 10Web AI Website Builder.

Gere seu site
Não é necessário cartão de crédito