Porque não é exibida página de bloqueio para sites HTTPS?
Com a finalidade de manter o maior nível de segurança, a decisão técnica atual da Lumiun é de não forçar a exibição de página de bloqueio em sites que usam HTTPS.
Por dois principais motivos:
Evitar a quebra da criptografia original dos sites seguros, que por definição é estabelecida entre o servidor web e o navegador do usuário, sem um intermediário. Para forçar a exibição de uma página de erro em sites HTTPS, inevitavelmente é necessário que um intermediário (proxy, firewall, sistema) se faça passar por aquele site, usando um certificado SSL forjado. Nesse momento, preferimos não fazer isso isso.
Evitar que os usuários tenham que instalar e confiar em um certificado Root CA especial em todos computadores e dispositivos que usam a internet. Esse certificado é utilizado para fazer todos os dispositivos dos usuários confiarem na autoridade certificadora (interna, não pública) desse intermediário que forjará os certificados para se fazer passar pelos demais sites.
Entendemos que a nossa abordagem, sem forçar a exibição de página de bloqueio em sites HTTPS é mais segura pois retira uma possibilidade de redirecionamento e interceptação do tráfego (MITM) dos usuários de sites seguros com HTTPS.
Ainda assim, o bloqueio dos sites HTTPS continua efetivo, apesar de não ser exibida a página diretamente a explicativa do bloqueio. Para sites que não usam HTTPS, a página de bloqueio é exibida normalmente.
Em caso de dúvidas, entre em contato conosco.
Por dois principais motivos:
Evitar a quebra da criptografia original dos sites seguros, que por definição é estabelecida entre o servidor web e o navegador do usuário, sem um intermediário. Para forçar a exibição de uma página de erro em sites HTTPS, inevitavelmente é necessário que um intermediário (proxy, firewall, sistema) se faça passar por aquele site, usando um certificado SSL forjado. Nesse momento, preferimos não fazer isso isso.
Evitar que os usuários tenham que instalar e confiar em um certificado Root CA especial em todos computadores e dispositivos que usam a internet. Esse certificado é utilizado para fazer todos os dispositivos dos usuários confiarem na autoridade certificadora (interna, não pública) desse intermediário que forjará os certificados para se fazer passar pelos demais sites.
Entendemos que a nossa abordagem, sem forçar a exibição de página de bloqueio em sites HTTPS é mais segura pois retira uma possibilidade de redirecionamento e interceptação do tráfego (MITM) dos usuários de sites seguros com HTTPS.
Ainda assim, o bloqueio dos sites HTTPS continua efetivo, apesar de não ser exibida a página diretamente a explicativa do bloqueio. Para sites que não usam HTTPS, a página de bloqueio é exibida normalmente.
Em caso de dúvidas, entre em contato conosco.
Atualizado em: 20/04/2023
Obrigado!