Criptografia Obsoleta no Chrome
Se ao utilizar o Google Chrome aparecer um ícone no navegador do seu cliente como na figura abaixo e mostrando o texto:
“Sua conexão com xxxxxxxx está criptografada com criptografia obsoleta”
Verifique o servidor
Isso geralmente significa que o seu servidor está configurado para usar alguma chave criptográfica insegura, como as listadas abaixo:
SSLv3: Ela começou a ser desativa pelo Chrome no início de 2015 devido ao ataque conhecido como POODLE.
RC4: Ainda não foi desabilitado, porém é considerado inseguro e é recomendável desabilitar as chaves RC4.
O TLS 1.0 também pode ser considerado inseguro, porém ao desabilitar o TLS 1.0, vai impactar diversos equipamentos e navegadores como Android 4.3 e Internet Explorer 6, 7, 8 entre outros.
Dentre esses fatores, a melhor opção a princípio é analisar a situação atual do servidor para identificar onde estão as falhas e poder corrigi-las.
Usando a ferramenta online da Qualys, o SSL Labs, é possível identificar todos os pontos que precisam ser corrigidos.
Certificado com SHA-1
O Chrome também iniciou o processo de substituição gradual do SHA-1 (usado para assinaturas de certificados SSL) com a versão do Chrome 39 lançada em novembro de 2014.
Os sites HTTPS que utilizam em suas cadeias o certificado assinado com SHA-1 e expiram em ou após 01 de janeiro de 2017 não vão mais aparecer como sendo totalmente confiável na barra do usuário no Chrome como na imagem abaixo.
A partir da versão 40 do Chrome, os sites que tem SSL com data para expirar a partir de 1 de janeiro de 2017 e estejam utilizando chaves com SHA-1, vão apresentar uma imagem de ícone em branco como sendo neutro, veja imagem abaixo.
A partir da versão 41 do Chrome, os sites que tem o SSL com data para expirar a partir de 1 de janeiro de 2017 e estejam utilizando chaves com SHA-1 irão apresentar uma mensagem de erro como inseguros, veja imagem abaixo.
Código no website
Outro ponto importante, é alterar todas as referências aos objetos inseguros (HTTP) na página HTTPS, ou seja, ao acessar a loja via HTTPS todos os endereços devem chamar recursos via HTTPS.
A partir do Chrome 43, será possível adicionar a seguinte tag dentro do “<head>” em sua página HTML.
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
Com essa tag, é possível transformar todas as requisições HTTP existentes no código em HTTPS evitando que seja exibido o ícone sobre objetos inseguros, como mostrado abaixo.
Mas qual chave devo usar então? meu site usa SHA1 e está aparecendo isso quando acesso pelo chrome...
ResponderExcluirOlá,
ExcluirA melhor opção é você utilizar o SHA-2. Mas você chegou a verificar se o seu site não esta carregando conteúdo HTTP no HTTPS?
Olá Marcos,
ResponderExcluirObrigado pela dica, meu site é 100% https eu configurei no 'Connector' do tomcat.
Vou reconfigurar tudo, depois vou contratar um pen-test de vocês pra ver o que dá pra melhorar.
Abraços!
Marcos, o meu outlook ta me dizendo que tem uma criptografia obsoleta, como eu retiro isso? parece que é essa TSL, eu só quero desativar, como eu faço?
ResponderExcluirOlá Liene,
ExcluirVocê pode me fornecer mais detalhes? No seu outlook qual é o seu provedor de e-mail?
Abraços,
Pode me dar um passo-a-passo para corigir isto?
ResponderExcluirComo posso resolver o problema?(por favor em linguagem para iniciante -Tutorial)
ResponderExcluirOlá,
ExcluirVocê pode me passar mais detalhes de onde esta acontecendo o problema? Dessa forma eu consigo te dar um melhor direcionamento.
Abraços.
Oi, acontece nos sites bancários no browser Google Chrome.
ResponderExcluirAbraço
Olá,
ExcluirNeste caso não existe muito o que fazer, pois é preciso esperar o banco que você acessa corrigir isso. Mas sempre mantenha o seu browser atualizado.
Abraços
Coloquei em meu site, tiberawar.com um certificado SSL porém está com cadeado verde porem o chrome fala que estou usando uma criptografia obsoleta, há alguma ideia de como resolver isto? Obrigao.
ResponderExcluirOlá,
ExcluirAcessei o seu site e não encontrei nenhuma mensagem de criptografia obsoleta. Essa mensagem é apresentada em alguma página específica?
Abraços,
Estou com o mesmo problema no meu gmail, aqui diz que o website usa Hsts ataque e erros são temporário e que funcionará mais tarde mas isso já está a quase uma semana, eu consigo acessar do meu celular mas nao do computador, como faço?
ResponderExcluirOlá,
ExcluirMe parece ser um problema com seu navegador. Você tentou atualizar ele para versão mais recente? Chegou a desinstalar e instalar novamente?
Abraços,
Olá, Marcos.
ResponderExcluirEu consegui achar o erro por isto você não encontrou, estava utilizando criptografia HMAC_SHA1 em meu serviço de apache, e consegui localizar um código na WEB com a criptografia moderna.
Muito obrigado pela atenção.
Johnny
Olá Johnny,
ExcluirQue ótimo que encontrou o problema. =)
Abraços,
Marcos
cara o que fazer para acessar o dogechain deu esse erro e não acessa de jeito nenhum
ResponderExcluirOlá,
ExcluirVocê poderia especificar o que é o dogechain?
Abraços,
Bom dia, problemas em acessar o site do Hotmail, para acessar minha conta. A mensagem que aparece é essa.
ResponderExcluir1 - a identidade desse website foi confirmada por Symantec class 3 EV SSL - G3. informações de transparência de certificado válidas foram fornecidas pelo servidor. ( obs. não foi possivel verificar se o certificado foi revogado.)
2 - Sua conexão com login.live.com está criptografada com um pacote de criptografia obsoleto. Além disso, esta página inclui outro recurso que não são seguros. esse recursos podem ser visualizados por outros usuários enquanto ele navegam e poder ser modificados por um invasor para alterar o comportamento da página. ( A Conexão usa a TLS 1.2.), ( A conexão foi criptografada utilizando AES_256_CBC com HMAC-SHA1 para mensagem de autenticação e ECDHE_RSA como mecanismo de troca de chaves.
como faço para corrigir isso e proteger meu notebook e minhas informações?
Bom dia,
ExcluirNeste caso o problema esta na configuração do site que esta aceitando um tipo de criptografia obsoleta, mas existem algumas configurações que você pode fazer para melhorar a segurança em seu notebook.
Se você é um usuário avançado e utiliza Windows, o artigo abaixo da Microsoft pode te ajudar a desabilitar algumas chaves fracas.
Como restringir o uso de determinados algoritmos criptográficos e protocolos no Schannel. dll
https://support.microsoft.com/pt-br/kb/245030
Se você quer apenas rodar o Chrome sem o suporte as chaves fracas, o artigo abaixo te dá os passos de como fazer isso.
http://security.stackexchange.com/questions/38493/remove-rc4-from-ssl-tls-ciphers-in-chromium
Abraços,
É possível apagar informações acessadas de uma página criptografada? Pois depois q fiz uso do cartão q vi q estava criptografada.. obrigado.
ResponderExcluirOlá Muni,
ExcluirSim, é possível. Basta excluir todo histórico e as informações armazenadas.
Abs,
oque fazer quando aparce o icone vermehor dizendo que minha conexão nao esta particula alguem pode estar tentando invadir minha conta ou infomação..e que estava criptografada isso só estava aconcendo quando eu tentava entrar no facebook o rst funcionava perfeitamente
ResponderExcluiroque fazendo quando mostra icone vermlho dizendo queminha conexõ nao esta particular que pode esta tentando invadir minha conta ou informação isso só mostrou quando eu estava n facebook obrigado se poder me ajudar
ResponderExcluirEste comentário foi removido pelo autor.
ResponderExcluirHá um bom site com um arquivo DLL http://pt.fix4dll.com/msvcr100_dll e pode ajudá-lo. Tente baixar o arquivo e instalar. Desejo-lhe boa sorte!
ResponderExcluir