Saiba como o Monitoramento da Transparência de Certificados fornece visibilidade dos certificados SSL provisionados para seus domínios.
Visão geral
Um site é considerado confiável pelos principais navegadorespor meio de um certificado SSL. Um certificado SSL ajuda a provar a identidade do site e garante conexões seguras antes que o cliente ou o navegador envie conteúdo.
Quando as Autoridades de Certificação emitem certificados, elas registram a emissão em logs públicos de Transparência de Certificados (CT). Os logs de CT são grandes bancos de dados gerenciados pela Cloudflare, Google e outros. Eles documentam coletivamente todos os certificados válidos. O Monitoramento da Transparência de Certificados da Cloudflare envia alertas por e-mail sempre que seu domínio é reconhecido em um log de CT. Assim, o monitoramento de CT notifica você sempre que um certificado SSL é criado para seu domínio e permite confirmar a legitimidade de novos certificados SSL.
Habilitar alertas de Transparência de Certificados
Os alertas estão Desativados por padrão, mas são habilitados pelo Monitoramento da Transparência de Certificados dentro do aplicativo SSL/TLS da Cloudflare. Os alertas para domínios Free e Pro limitam-se a 10 por semana e são enviados a todos os membros de contas da Cloudflare definidos em Acesso a Contas Compartilhadas. Os domínios Business e Enterprise podem configurar até 10 endereços de e-mail para receber alertas de CT. Os endereços de e-mail não precisam estar associados a uma conta da Cloudflare. Os alertas limitam-se a 200 por semana.
Para desabilitar os alertas de CT para os domínios Free e Pro, configure o Monitoramento da Transparência de Certificados como Desativado no aplicativo SSL/TLS no painel da Cloudflare. Para os domínios Business e Enterprise, remova todos os endereços de e-mail configurados da funcionalidade Monitoramento da Transparência de Certificados.
Adote medidas contra certificados SSL mal-intencionados
A maioria dos alertas de certificado é rotineira. Por exemplo, os certificados expiram e precisam ser emitidos novamente. Nenhuma ação será necessária se seu domínio estiver listado no e-mail junto com informações reconhecíveis de propriedade e certificado.
No entanto, adote medidas sempre que:
- Não reconhecer o emissor do certificado.
- Perceber problemas no site por volta do momento em que receber o alerta de CT.
Pode ser difícil reconhecer atividades mal-intencionadas. Portanto, tome cuidado. Siga as sugestões abaixo se identificar um problema:
Somente Autoridades de Certificação têm o poder de revogar certificados mal-intencionados. Caso acredite que um certificado incorreto foi emitido para seu domínio, entre em contato com a Autoridade de Certificação listada como Emissor no e-mail de alerta. Estes são os links de contato de muitas das principais Autoridades de Certificação:
- DigiCert: https://www.digicert.com/support/#Contact
- GlobalSign: https://www.globalsign.com/en/company/contact/support/
- GoDaddy: https://www.godaddy.com/contact-us?sp_hp=B
- IdenTrust: https://www.identrust.com/support/support-team
- Let’s Encrypt: https://letsencrypt.org/contact/
- Sectigo: https://sectigo.com/support
Os registrars de domínio poderão suspender domínios potencialmente mal-intencionados. Por exemplo, se você perceber um domínio mal-intencionado registrado por meio da GoDaddy, entre em contato com a equipe de suporte da GoDaddy e peça assistência.
Existem outras maneiras de mitigar certificados mal-intencionados. Você pode advertir seus visitantes por notificação no site, pode tentar bloquear os domínios contatando os criadores dos navegadores (Google para Chrome, Apple para Safari etc.) ou pode entrar em contato com o suporte da Cloudflare.