Problema usando SSL

[Claudio Neto 3]

Nao sei se o problema que estou tendo realmente eh aqui que devo postar.

 

Instalei em um site o SSL compartilhado da Locaweb, porém, ao navegar no site, recebo um erro dizendo que há alguns objetos que não estão criptografados.

 

Alguém sabe de ajudar em como devo prosseguir para que TUDO seja criptografado? Achei que o simples fato de estar em ambiente seguro era suficiente, mas parece que não, e o pior que no Google só encontro como instalar no servidor.

 

Obrigado.

[Evandro Oliveira 331]

Certifique-se que todos os elementos incorporados (incluindo scripts e folhas de estilo) estejam passando pelo servidor seguro (https). Você deverá, também, disponibilizar apenas links internos que forneçam um redirecionamento fora da encriptação para outros domínios.

[Claudio Neto 3]

Eu entro no servidor seguro apenas no momento de enviar os dados do usuario, seja no cadastro ou no login.

 

Após estar lá, para passar para outras páginas não estou indicando o endereço seguro inteiro, apenas o caminho da página, e isso também para os img e etc. Mas em nenhum momento, estando na área segura fiz isso:

<img src="http://tralala.com/imagem.jpg" />

 

Fora analisando o código, tem como eu testar se tudo está passando ou não? Pq até onde entendo, era para tudo estar passando sim.

[Evandro Oliveira 331]

Em um navegador inteligente, você pode arrastar a imagem para a barra de endereços e verificar seu endereço completo. Tenho quase certeza que o endereço não estará encriptado pois é custoso e arrebenta com o desempenho tanto nas transições quanto decriptação no momento de renderizar.

[Claudio Neto 3]

Valeu Evandro.

 

As únicas cosias que encontrei no site que não estão com https, são o Google Analytics, o selo do E-bit e o banner do Buscapé.

Esses ítens também podem gerar esse tipo de problema? Quanto as minhas imagens e links, todos estão dentro do ambiente criptografado mesmo.

 

Comprovando que são esses itens que estão gerando o erro, sabe me dizer se tenho como "burlar" o erro?

 

Obrigado.

[Claudio Neto 3]

Eu reparei tambem que o erro ocorre ate mesmo em uma pagina que nao tem esses selos a banners.

 

A unica coisa nessa pagina que esta direcionando para outro servido e nao esta com https eh a declaracao do html:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">

 

Se ateh isso for motivo para gerar o erro, como faco para nao ocorrer? Eh possivel? Obrigado.

[Evandro Oliveira 331]

Se você utilizou o código provido pelo Google para o analitycs, o mesmo também está em HTTPS.

 

Sugiro que importe o selo e não utilize banners no ambiente seguro. Tenha em mente que nem todas as páginas precisam passar por critpografia, apenas as que enviam e recebem informações sensíveis, principalmente referentes ao pagamento.

Como, normalmente, existe uma página para entrada de dados e uma para confirmação, de todo um sistema, por mais complexo que seja, teríamos apenas 2 páginas criptografadas. Creio que você não teria muitas baixas na receita se remover o banner do buscapé nestes dois cenários.

Informações de DTD e Namespaces não interferem na segurança, pois costumam ser valores padrão que já vêm inclusive, incorporados aos navegadores.

 

Se possível, informe um link para testes.

 

 

[Claudio Neto 3]

Coloquei, a partir do momento que está logado, tudo no ambiente seguro.

Fiz isso mais por facilidade mesmo, porque senão daria trabalho para caramba ficar controlando sessões, já que cada vez que mudo de ambiente, perco as sessões.

 

Mas darei uma pensada então sobre qual a melhor alternativa. Quanto ao link:

http://www.belltelemensagens.com.br

[Evandro Oliveira 331]

A página deve poder ser acessada pelo endereço https://www.belltelemensagens.com.br/login.asp Caso contrário de nada adiantará o certificado.

[Claudio Neto 3]

Não entendi o que quis dizer.

 

Essa página aí deve estar dentro do ambiente seguro? É isso?

[Evandro Oliveira 331]

Não entendi o que quis dizer.

 

Essa página aí deve estar dentro do ambiente seguro? É isso?

 

Eu entro no servidor seguro apenas no momento de enviar os dados do usuario, seja no cadastro ou no login.

 

 

 

[...] Tenha em mente que nem todas as páginas precisam passar por critpografia, apenas as que enviam e recebem informações sensíveis [...]

 

 

Fiz isso mais por facilidade mesmo, porque senão daria trabalho para caramba ficar controlando sessões, já que cada vez que mudo de ambiente, perco as sessões.

 

Se estiver trabalhando sessões em PHP, dê uma lida na especificação da função:

 

 

secure

 

Indicates that the cookie should only be transmitted over a secure HTTPS connection from the client. When set to TRUE, the cookie will only be set if a secure connection exists. On the server-side, it's on the programmer to send this kind of cookie only on secure connection (e.g. with respect to $_SERVER["HTTPS"]).

 

 

 

[Claudio Neto 3]

Bom, o site está em ASP, não PHP, mas segundo essa especificação, tenho que manter do jeito que está, com todas as páginas dentro do ambiente seguro enquanto logado, já que utilizo sessions durante todo o tempo.

 

Reparei também que, ao realizar uma compra, logo após logado, quando chego na tela de pedido, o erro não acontece. Mas se voltar para a página principal, ou para qualquer outra, o erro já aparece.

 

Testei tirar os banners, mas o problema persistiu.

 

Obrigado pela ajuda, mas estou completamente confuso sobre o que pode ser.

 

Abraço.