Como faço para que meu site seja verificado de forma que mostre uma caixa verde na barra de endereços do Chrome?

26

Como obtenho meu site verificado pelo Google Chrome para que ele tenha a caixa verde na barra de endereços? Sinceramente, não sei como fazer isso. Além disso, tenho que pedir ao Google para verificar isso?

domains web-hosting https security-certificate TwentyCharMax
fonte
7
Você está perguntando sobre o verde que indica que o site possui um certificado de segurança de Verificação Estendida (EV) para HTTPS / SSL / TLS?
Stephen Ostermiller
@StephenOstermiller yes
TwentyCharMax
8
Você tem que pagar por isso.
precisa saber é o seguinte
12
Permite que o Criptografar nem oferece certificados EV. Está nas perguntas frequentes: letsencrypt.org/docs/faq Eles oferecem apenas certificados de validação de domínio (DV).
Stephen Ostermiller
5
@ Alex NÃO, obter um certificado da LetsEncrypt não fornecerá a "caixa verde". A veiculação de seu site por HTTPS exibirá um bloqueio na maioria dos navegadores, mas "a caixa verde" que mostra o nome da sua empresa só será mostrada se você possuir um certificado EV, que o LetsEncrypt não oferece.
BlueCacti

Respostas:

34

A 'caixa verde' na barra de endereços do Chrome não tem nada a ver com a verificação do Google - como Stephen mencionou nos comentários de sua pergunta, é uma indicação de que seu site possui um certificado de segurança de Verificação Estendida (EV).

A 'caixa verde'

Geralmente, é um produto SSL 'premium' oferecido por muitos provedores de certificados SSL. Para obter um desses certificados, o melhor lugar para começar é geralmente seu host, que pode lidar com todo o processo de geração de uma solicitação de assinatura de certificado, compra do certificado para você e instalação. Às vezes, é possível fazer isso você mesmo através do seu painel de controle de hospedagem na web, mas você precisará conhecer o caminho para fazer isso.

Se você decidir seguir o caminho de fazê-lo, os fornecedores de certificados mais confiáveis ​​devem poder fornecer um certificado EV. Isso inclui empresas como Comodo, Thawte, Verisign e muitas outras. Normalmente, eles também fornecem instruções para configuração em painéis de controle de hospedagem populares.

Tim Malone
fonte
25
Também é importante mencionar que os certificados EV não são emitidos para indivíduos.
Michael Hampton
3
Um certificado EV é concedido apenas a entidades legais depois que a CA verificar que você tem permissão para comprar o certificado e o domínio realmente pertence à entidade legal. -> en.wikipedia.org/wiki/Extended_Validation_Certificate - Um certificado de validação estendida (EV) é um certificado de chave pública que comprova a entidade legal que controla um site ou pacote de software. A obtenção de um certificado EV requer a verificação da identidade da entidade solicitante por uma autoridade de certificação (CA).
BlueCacti
30

Como Tim Malone disse, esse é um tipo especial de certificado SSL que geralmente é vendido com um prêmio pelas autoridades de certificação. A taxa atual é geralmente de pelo menos algumas centenas de dólares.

O que Tim não mencionou, e parte do motivo do preço elevado, é que há uma certa quantidade de papelada envolvida que deve ser enviada e verificada pela CA da qual você está comprando o certificado. Essa documentação geralmente inclui a verificação de que a empresa que solicita o certificado está devidamente registrada no estado ou país, levando um executivo da empresa a assinar a solicitação e, possivelmente, outras coisas. Ao contrário de outros certificados, você não pode simplesmente comprá-lo, fazer uma verificação automatizada de cinco minutos e instalar o certificado dentro de algumas horas, no máximo. Esses certificados são chamados "Validação estendida"

D. Strout
fonte
15

Acho que essa pergunta merece um pouco mais de experiência ... Existem diferentes tipos de certificados SSL / TLS que podem ser emitidos por uma CA (Autoridade de Certificação), que basicamente age como um notário, certificando que o domínio que você está acessando é realmente o site real e você está acessando-o com segurança.

Quando você acessa um site que usa HTTPS, o servidor do site envia seu certificado SSL / TLS e o navegador verifica. Um "bloqueio verde" aparecendo significa que o certificado do site é válido (assinado por uma CA), e todo o conteúdo da página e da conexão é criptografado. Uma trava verde indica que você está realmente conectado ao servidor real usado por esse domínio.

O outro tipo de "bloqueio verde" tem o nome da entidade comercial e é um certificado SSL / TLS de Validação Estendida (EV) válido. Apenas as empresas podem se inscrever para certificados EV, e estes envolvem um processo de emissão mais aprofundada por um Certificate Authority (CA) que, basicamente, realmente torna-se de que o site google.com é realmente de propriedade da Google, Inc.

Veja a diferença entre os dois: insira a descrição da imagem aqui

Freqüentemente, sites estáticos que não são muito complexos ou não armazenam senhas ou informações confidenciais não precisam (mas são altamente incentivados ) de criptografar seu tráfego usando certificados HTTPS e SSL. Conforme mencionado nessa pergunta, o uso de HTTPS não apenas protege a conexão , mas também fornece autenticidade, importante mesmo para sites estáticos simples.

Para sites pessoais, você pode obter um certificado SSL / TLS DV (Validação de Domínio) regular. A maneira de fazer isso depende de onde seu site está hospedado, mas a essência é que você precisa criar uma chave privada (2048 bits, por favor) e, com isso, criar um arquivo de Solicitação de Assinatura de Certificado (domainame.csr) para enviar a um CA para emitir / assinar um certificado. Depois de ter o certificado público assinado pela CA e sua chave privada, você informa ao servidor da web onde eles estão e para usar SSL / TSL, os detalhes variam de acordo com a configuração.

Você pode usar o beginsl.com, para obter um certificado SSL regular de graça, btw. HTH

protocolo desconhecido
fonte
7
"Muitas vezes, sites estáticos que não são muito complexos, ou não armazenam senhas ou informações confidenciais, não precisam realmente criptografar o tráfego usando certificados HTTPS e SSL". As pessoas discordam. Observe também que o HTTP / 2 não é suportado por nenhum dos principais navegadores no modo não criptografado; portanto, se você deseja o HTTP / 2, precisa conversar sobre HTTPS.
a CVn
6
"Muitas vezes, sites estáticos que não são muito complexos, ou não armazenam senhas ou informações confidenciais, não precisam realmente criptografar o tráfego usando certificados HTTPS e SSL". Se você não está criptografando cada fragmento de dados que atinge seu servidor e volta para mim, eu realmente não preciso fornecer meu tráfego. Além disso, qualquer tipo de site será afetado nas classificações de pesquisa se não usar HTTPS completo em todos os lugares. Além disso, existe um novo ícone da barra de endereços no Chrome que diz "Não seguro" em vermelho brilhante com um triângulo de aviso se o domínio não estiver executando HTTPS. ---> i.imgur.com/ahR6dMg.png
dhaupin
11
@dhaupin Obrigado. O próximo aviso "Não seguro" é uma novidade para mim, vou ter que ler sobre isso. Mas mesmo sites que usam certificados SSL não criptografam todo o tráfego (conteúdo estático) ... diabos, esse site não serve tudo usando https.
Unknownprotocol 26/09/16
11
@ MichaelKjörling Eu sei que é sempre melhor servir HTTPS, mas para alguns sites html apenas informativos, acho que às vezes o processo de obtenção de um certificado de emissão de CA é mais complicado do que vale a pena.
Unknownprotocol 26/09/16
É perfeitamente possível usar o Stack Exchange quase exclusivamente em HTTPS, atualmente, exceto sites Meta específicos do site e imagens incluídas nas postagens de usuários explicitamente por HTTP. E o processo de obtenção de um certificado DV SSL certamente não é trabalhoso, nem mesmo antes de Let's Encrypt. Certos de EV são outra questão, mas para muitos sites, os certificados de EV não agregam valor significativo; HTTPS ao invés de HTTP de texto simples faz .
um CVn
5

Outras respostas dizem como obter o certificado, mas não mencione que os usuários precisam usar o site por HTTPS para ver a barra verde, mesmo após a instalação do certificado.

Se mostrar que a verificação verde é importante para você e seu site, você deve redirecionar o site HTTP para o site HTTPS para que os usuários sempre usem a versão HTTPS que possui a validação.

Stephen Ostermiller
fonte
5
E se for realmente importante, você deve configurar o HSTS junto com o HTTPS.
um CVn
Depois de iniciar com HTTPS, você deve usar um cabeçalho HSTS para que os clientes que usam o site HTTP (inseguro) iniciem automaticamente a versão HTTPS. Existe um site legal que mostra quais cabeçalhos estão ausentes ou que foram configurados incorretamente: securityheaders.io
BlueCacti
11
@GroundZero Sim, você deve usar o HSTS. Mas não vejo como isso contribui para o escopo da questão. O HSTS não está relacionado ao VE. A questão é sobre EV especificamente. Você também pode mencionar a pré-carga do HSTS. Ou grampeamento OCSP. Ou fixação de teclas. Ou isso ou aquilo também. E há muito mais que você precisa fazer certo do que apenas a criação de um par de cabeçalhos.
Num Lock
-3

Se você tiver uma assinatura SSL ativada, certamente verá o ícone verde não apenas no Google Chrome, mas também no Firefox. Tente obter uma integração HTTPS para o seu site. Eu sou bastante novo aqui, então aparentemente não posso compartilhar nenhum link por alguns motivos. Você pode, no entanto, pesquisar no Google.

Mukul Sharma
fonte
É preciso mais do que qualquer certificado SSL para obter a barra verde. É preciso especificamente um certificado de validação estendida (EV).
Stephen Ostermiller