HTTPS é um protocolo da Web que melhora a segurança de comunicação entre o utilizador e o servidor. Com este ativado:

  • Pode ter a certeza que o conteúdo que está a visualizar não foi modificado por qualquer intermediário, tais como um sistema de ISP ou do governo;
  • Isto torna muito mais difícil (mas não impossível) para terceiros determinar qual o artigo que está a visualizar,
  • Pode ter a certeza que ninguém pode alterar o conteúdo das suas edições durante o transporte para os servidores Wikimedia,
  • Pode ter a certeza que ninguém pode tomar conta da sua conta, roubando a sua palavra-passe ou o cookie da sessão.

O trabalho contínuo para melhorar a segurança e privacidade dos editores dos projectos da Wikimedia é um objectivo declarado da Wikimedia Foundation. Este trabalho foi encaminhado em destaque pela National Security Agency (NSA) devido ao escândalo de espionagem revelado por Edward Snowden, no verão de 2013. A Wikipédia foi referenciada em vários documentos como uma fonte específica para acompanhar o comportamento on-line dos utilizadores.[1] A navegação através do protocolo inseguro HTTP permite que terceiros estejam atentos às páginas que visita e informações que envia na Internet.

Wikimedia used to have a dedicated secure server (secure.wikimedia.org) for HTTPS connections. Now, all connections to Wikimedia projects are encrypted, and unencrypted access is no longer possible, and the URL above redirects to the appropriate Wikimedia project.

O que significa isto para si

edit

Além das melhorias anteriores à privacidade e segurança nos sítios da Wikimedia (veja abaixo), na quarta-feira dia 28 de Agosto de 2013, à 01h00min (PDT), a Wikimedia Foundation tornou o HTTPS activo para todos os editores com conta. Como tudo isto funciona é simples: Se um utilizador quiser entrar na sua conta, o login irá acontecer em HTTPS (mantendo assim o seu nome e senha em segurança), e depois de estarem registados permanecem na versão HTTPS do sítio Wikimedia que esteja a ser utilizado.

Proxies

edit

If you are behind a proxy, for instance a caching proxy to improve web experience in a place with bad networking, and the proxy prevents you from using Wikimedia sites over HTTPS, please contact the maintainers of the proxy and ask them if they can fix it, and if not why.

In limited, controlled environments like schools and corporations, where the entity also controls the browsers/devices, they can technically proxycache HTTPS. There are commercial solutions to do so which rely on, basically, installing a fake root certificate into the browsers/OSs, which their proxycache uses to generate fake SSL certs for the sites being proxied, etc.

Ajuda! O meu código está com problemas

edit

É incapaz de aceder e editar num projecto da Wikimedia após essa mudança? Entre em contacto com a equipa de Operações da Wikimedia Foundation através de qualquer meio que lhe seja mais confortável, incluíndo a página de discussão deste artigo, no IRC através do canal #wikimedia-operationsconnect ou através do endereço de e-mail https@wikimedia.org.

Ajuda! O meu código não funciona!

edit

Operaciona algum robô ou é autor de algum gadget e está a experienciar algum comportamento estranho depois dessa mudança? poderá resolver facilmente o problema.

Para autores de gadgets, a modificação de URL codificados de "http://..." para "//..." deverá corrigir o problema (isto é denominado como "protocolo de URL relativo").

Para os operadores de robôs, têm várias de opções. Entre na sua conta através do robô que utiliza e seleccione a preferência de não usar HTTPS para essa conta, ou atualize o seu código para operar antes com o SSL. Se utiliza o Pywikipediabot, por favor, actualize para a sua versão mais recente (Mais detalhes técnicos: [1], [2] e leia esta mensagem para mais informação.

Vários problemas

edit

Redireciona para aviso de segurança

edit

When Wikimedia is deprecating outdated security protocols, users may be redirected increasingly often to a page titled: Your Browser's Connection Security is Outdated. This means that you should update your browser Browser and/or Operating System because otherwise you will soon not be able to connect to Wikimedia websites.

Autocomplete no longer working

edit

Users of Internet Explorer 8, 9 and 10 report that auto-complete of the edit summary field no longer works under HTTPS. This issue can be fixed by upgrading to Internet Explorer 11.

Robôs

edit

API requests are now being forced redirected to HTTPS on some languages. On most bot frameworks, this should just work, but a few bot maintainers have reported problems. If your bot has problems, make sure that the library you are using supports HTTPS, and has access to appropriate root certificates.

Imagens em falta

edit

Se as imagens estão em falta, verifique se consegue visualizar este ficheiro no Commons. Se receber um aviso de certificado e aceitá-lo, deverá mais tarde conseguir ver as imagens (contudo, caso não tenha recebido o aviso de certificado, consulte a próxima secção sobre o assunto).

Scripts em falta

edit

Se possui scripts personalizados (mas o mesmo problema pode ocorrer em todo o sítio) e recuperou algum através da função loadJS (nome comum, mas pode ser diferente) ou com uma sintaxe como document.write('<script src="http://..." />');, deve alterar a função ou a sintaxe para utilizar os scripts com "https://...", ou ainda melhor, com o protocolo de URL relativos, "//..." (ou seja, sem http: ou https:). Em qualquer caso, há provavelmente uma função genérica no MediaWiki:Common.js que deve preferir a uma função personalizada semelhante.

Erro de certificado ou aviso

edit

Se o seu navegador remove silenciosamente o sinal de protecção da barra de endereço (ou na parte inferior do seu navegador) ou explicitamente reporta um aviso:

  • Pode verificar se o relógio do seu computador pessoal está actualizado: desde que o certificado HTTPS é válido num intervalo de tempo específico (Janeiro de 2012-Janeiro 2016 para projectos da Wikimedia), qualquer relógio com definições erradas irá gerar um aviso;
  • verifique se o sítio que está a consultar é na realidade a Wikipédia ou algum projecto da Wikimedia: na barra de endereço deverá aparecer https://o-seu-idioma.wikipedia.org ou o nome exacto do projecto; se existem caracteres estranhos na barra de endereço (traços no nome do projecto, cortes inusitados, etc.) provavelmente está a aceder a um sítio falso, e assim sendo, deve reportar a situação na página de discussão https://meta.wikimedia.org/wiki/Talk:HTTPS
  • verifique se também obtém o erro de certificado nos domínios upload.wikimedia.org e bits.wikimedia.org
  • reporte o problema na página de discussão e especifique o seu navageador, a sua versão (geralmente pode obter esta informação no menú Ajuda > Sobre), o seu sistema operativo e respectiva versão.

Efeito nos colaboradores não registados

edit

Once HTTPS is switched fully on, there will be no option to disable, and all users will have to use it (This is necessary to prevent the SSL-stripping attack)

Histórico do HTTPS na WMF

edit

Ativação inicial em 2005

edit

HTTPS foi ativado pela primeira vez nos projetos da Wikimedia por Brion em Dezembro de 2005, although it was on special URLs of the form https://secure.wikimedia.org/wikipedia/en/wiki/Main_Page and it was quite slow and unscalable (one single server for this task), making it unsuitable for everyone’s use.

Desenvolvimento a grande escala em 2001

edit

O HTTPS com URL canônicos https://en.wikipedia.org/wiki/Main_Page foram activados em Outubro de 2011, após meses de esforço para fazê-lo funcionar de uma maneira que fosse amigável com a cache dos navegadores. Isso significava que

  • ligações relativas ao protocolo podem ser utilizadas para evitar a cache de duas versões da mesma página;
  • configuração correta dos servidores e armazenamento em cache para lidar com HTTPS, e
  • garantir que todos os recursos foram servidos utilizando o mesmo protocolo, HTTP ou HTTPS, para evitar conteúdo misto na página (este tipo de conteúdo nega o estado seguro da página).

Este desenvolvimento do HTTPS foi descrito por relatórios de engenharia da Wikimedia de Maio de 2011 a Dezembro de 2011.

28 de agosto de 2013 - Autenticação, navageção e edição seguras para editores registados

edit

De acordo com o plano establecido e divulgado na entrada do blogue intitulada "The future of HTTPS on Wikimedia Projects", na quarta-feira dia 28 de Agosto de 2013 à 01h00min (PDT) (20h00min UTC), o processo de login será concluído utilizando o HTTPS para a maioria dos editores e projectos. (Nós anunciámos a alteração originalmente a 21 de Agosto, contudo, atrasámos o procedimento durante uma semana.[2]) Todos os editores registados irão navegar e editar utilizando o protocolo HTTPS por definição.

2015

edit

In June 2015, the WMF announced the ongoing transition of all of the Wikimedia wikis to HTTPS, without an ability to opt out.

All wikis are now converted to HTTPS-only. Converting to HTTPS-only entails the following:

  • The HTML <link rel="canonical" ..> tag is set to HTTPS. This tells search engines to return the HTTPS version in search results.8f99d5f4a5009b4a
  • When visiting the http project in question, the web browser receives a redirect (HTTP 301). This tells the web browser that the website has permanently moved to the HTTPS version.cfc9dbe40323b3157
  • HSTS headers are enabled. This tells the web browser that once it has visited the website over HTTPS once, it must always use HTTPS in the future. This prevents people from "opting-out" of HTTPS, but is required to prevent certain attacks on HTTPS where a malicious person could trick the browser into loading the unsecured HTTP version (and then hijack the page) even if the user would normally use HTTPS. c8d38e4aabb327273de

Later on, long-term (1 year) HSTS was enabled, and Wikimedia projects were added to browser HSTS pre-load lists.

Rolling improvements

edit

Wikimedia routinely increases security by removing support for older security algorithms and protocols, following the advise and progress of the major browser vendors and the global security community. Users affected by such removals will gradually see increasing occurrences of being redirected to the sec-warning page, until a time where they will no longer be able to reach Wikimedia websites altogether. The policy for this is documented on wikitech:HTTPS.

Hiperligações

edit

Referências

edit
  1. Mensagem de Jimmy Wales no Twitter, repare na imagem divulgada como um documento "ultra-secreto".
  2. "Wikitech-l: HTTPS for logged in users delayed. New date: August 28"