01. VERIFIQUE SEU CERTIFICADO

Recomendamos a validação do seu certificado através de portais como https://www.ssllabs.com/ssltest/ ou https://www.sslshopper.com/ssl-checker.html

O SSLLabs realiza a geração de um grade/score baseado em uma série de critérios como por exemplo inspeção do certificado e protocolos de criptografia, nos casos abaixo o certificado gratuito ficou grade B, pois nível de criptografia suportado é inferior ao disponível no mercado, nesse link podem ser identificado metodologia de validação: https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide

02. RESULTADOS NEGATIVOS

A tentativa de utilização de certificados inválidos na configuração do servidor no protheus geram erro no processo de handshake na validação das requisições e geração da chave de sessão entre o cliente requisitante e o servidor, consequentemente todas as suas informações não irão trafegar de modo seguro e criptografado pela rede.

No exemplo da imagem abaixo, podemos observar que apesar de ser um certificado valido e configurado no server com sua chave privada, o mesmo não está autorizado a ser utilizado de acordo com o SAN, sendo rejeito pelo browsers no momento de negociação da chave de acesso para a sessão de comunicação.

Ou seja, não podemos utilizar esse certificado para ser configurado em um IP externo ou mesmo em qualquer outro subdomínio, sendo assim realize essa verificação e validação para um correto funcionamento do ambiente seguro.

03. CERTIFICADOS INTERMEDIÁRIOS

Caso sua certificadora exija a utilização de certificados intermediários

A “cadeia de certificados incompleta” é um dos avisos mais comuns ao executar uma verificação SSL. Quando você instala um certificado SSL no seu servidor web, ou com a Kinsta, ele requer que você adicione sua chave de certificado, chave privada e cadeia. Se você apenas adicionar seu certificado primário, você encontrará um aviso como mostrado abaixo: “A cadeia de certificados deste servidor está incompleta. Nota limitada a B.” Também reportará mais adiante como tendo simplesmente uma questão de cadeia.

Para corrigir isso, você precisa adicionar seu certificado intermediário também. A maioria dos provedores SSL irá enviar-lhe um arquivo . crt e um arquivo . ca-bundle. Para clientes Kinsta, basta colar o conteúdo do seu arquivo . crt na seção “Certificado” primeiro e depois o conteúdo do arquivo . ca-bundle abaixo dele. Você pode usar um editor de texto como o Notepad ou o TextMate para abrir os arquivos de certificado e pacote. Se você não tem ou não conhece seu certificado intermediário, você pode usar uma ferramenta gratuita como https://whatsmychaincert.com/ para gerá-lo.

Se você estiver usando um provedor de hospedagem web diferente, você pode abrir um ticket de suporte e fornecer a eles seu certificado intermediário. Depois de adicioná-lo, você pode limpar o cache em seu teste SSL Labs e executar novamente para garantir que sua nota B vai para um A.

No exemplo da imagem abaixo, podemos observar que a

Public IP Address

An SSL certificate is typically issued to a Fully Qualified Domain Name (FQDN), but issuers can still offer SSL certificates for a public IP address, typically declared in the CN and SAN values of the certificate, since historically these are referenced varyingly by different flavours/versions of browser. However the facility might only be offered in premium products, eg an 'Organisation Validated' (OV) Certificate covering a whole organisation, or an 'Extended Validation' (EV) Certificate which requires rigorous vetting when acquired.

Certificado digital mobile

As plataformas de dispositivos móveis (iOS, Android) possuem limitações com relação aos certificados digitais. Por padrão, apenas os certificados homologados por elas são reconhecidos como confiáveis.

Para evitar a aquisição de certificados não homologados, é preciso consultar a documentação técnica de cada plataforma sobre a lista de certificados reconhecidos como confiáveis:

https://support.apple.com/pt-br/HT204132

Em caso de dúvidas, procure a unidade certificadora para assegurar que seu certificado é homologado pelas plataformas mencionadas acima.