Defaults.Exposed › Correções
Corrija a segurança do seu domínio — guias gratuitos, passo a passo
Guias em linguagem simples para corrigir todos os problemas que classificamos — SPF, DKIM, DMARC, DNSSEC, TLS, certificados e cabeçalhos de segurança HTTP. Cada um explica o que é, o que pode custar ao seu negócio e exatamente como configurá-lo no seu fornecedor.
- Cabeçalhos de isolamento cross-origin (COOP / CORP / COEP)
Três instruções opcionais para o navegador que controlam como outros sites podem interagir com o seu — abri-lo em janelas pop-up, incorporar as suas imagens e scripts, ou puxar os seus recursos para as próprias páginas. São endurecimento moderno, não um requisito básico, e na nossa pontuação são informativos: a sua ausência não baixa a sua nota. Mas os dois que são seguros fecham uma falha discreta de phishing e de roubo de largura de banda, e a equipa de TI de um comprador cuidadoso reparará quando estiverem presentes. - CDN / WAF e alojamento
Duas leituras da canalização por trás do seu site: se está protegido por um escudo (uma CDN com um Web Application Firewall, como a Cloudflare) que filtra ataques e absorve picos de tráfego, e um mapa de quem realmente gere o seu DNS, o seu site e o seu e-mail. Ambas são informativas na nossa pontuação — não movem a sua nota — mas descrevem quão exposto está o seu servidor de origem a ataques e falhas, e quão emaranhados estão os seus fornecedores. Um escudo à frente e um conjunto de fornecedores sensatamente repartido é o que os negócios resilientes parecem. - Configuração de nameservers (diversidade e SOA)
Os seus nameservers são o diretório que diz a toda a internet onde encontrar o seu site e o seu e-mail. Se estiverem todos na mesma rede e ela falhar, o seu negócio desaparece da internet no mesmo instante — sem site, sem e-mail, nada — e uma definição de relógio descuidada nesses servidores pode deixar as alterações que faz presas durante dias. - Content-Security-Policy (CSP)
Uma Política de Segurança de Conteúdo (CSP) é uma regra de segurança que o seu site entrega ao navegador de cada visitante, dizendo-lhe exatamente que código pode ser executado. Sem ela, se algo malicioso alguma vez chegar a uma página — por uma caixa de comentários, um plugin pirateado ou um script de terceiros — o navegador vai executá-lo livremente, incluindo código que recolhe em silêncio os números de cartão e palavras-passe dos seus clientes enquanto eles os escrevem, com o cadeado ainda visível. - DKIM
O DKIM é o selo invisível à prova de adulteração em cada e-mail que a sua empresa envia. Permite ao fornecedor de correio recetor confirmar que o e-mail veio mesmo de si e chegou inalterado. Sem ele, o seu correio é mais fácil de falsificar, mais fácil de alterar e tem muito mais probabilidade de cair no spam. - DMARC (Proteção contra Falsificação de E-mail)
O DMARC é a única definição que efetivamente diz aos fornecedores de correio do mundo para BLOQUEAREM e-mails que falsificam o nome da sua empresa. O SPF e o DKIM verificam as fechaduras; o DMARC decide o que acontece quando uma falsificação não passa na verificação — deitar fora, sinalizar ou deixar passar. Mal configurado, o seu domínio é totalmente falsificável; bem configurado, a imitação para à porta da caixa de entrada. - DNS Inverso (PTR)
O DNS inverso é o crachá de identificação do servidor que envia o e-mail da sua empresa. Quando um fornecedor recetor como o Gmail ou o Microsoft 365 verifica quem está por trás do endereço de envio e obtém um nome que bate certo, o seu correio parece legítimo. Quando não há crachá — ou o nome e o número não coincidem — as suas faturas e orçamentos perfeitamente reais são tratados como suspeitos e mandados em silêncio para o lixo ou rejeitados. - DNSSEC
O DNSSEC é um selo digital na lista de moradas do seu domínio. Permite à internet provar que a resposta à pergunta «onde vive este domínio?» veio realmente de si e não foi adulterada pelo caminho. Sem ele, a resposta pode ser forjada — e os seus visitantes enviados, sem o saberem, para outro lado. - Encriptação moderna (versão de TLS e cifras)
O TLS é o cadeado que baralha os dados que circulam entre os seus visitantes e o seu site. Duas coisas tornam esse cadeado confiável: usar uma versão moderna de TLS (não as antigas e quebradas) e usar cifras fortes (a receita de baralhamento propriamente dita). Esta página cobre ambas — além de algumas definições relacionadas que não afetam a sua nota mas vale a pena conhecer. - HSTS (Strict-Transport-Security)
O HSTS é uma instrução de uma linha que o seu site dá a cada navegador: «volta sempre a mim pela ligação segura e encriptada — nunca pela insegura». Sem ele, o seu cadeado pode ser silenciosamente retirado numa Wi-Fi partilhada, e a primeira visita ao seu site fica exposta. - HTTPS e redirecionamento forçado para seguro
O HTTPS é o cadeado na barra do navegador — encripta tudo o que circula entre o seu site e os seus clientes para que não possa ser lido nem adulterado em trânsito. O redirecionamento forçado para seguro garante que os visitantes aterram automaticamente nessa versão encriptada, mesmo quando escrevem o seu endereço sem «https://». Em conjunto, são a coisa mais básica de que um site precisa para ser sequer considerado seguro. - Proteção contra clickjacking (X-Frame-Options)
Uma instrução de uma linha que diz aos navegadores para não deixarem outros sites carregarem o seu site, em segredo, dentro deles próprios. Sem ela, um burlão pode esconder as suas páginas reais, com o cliente já autenticado, por trás de uma página falsa e levar os seus clientes a clicar em coisas que nunca pretenderam — aprovar um pagamento, alterar uma palavra-passe, conceder acessos. - Proteção contra MIME-sniffing (X-Content-Type-Options)
Um cabeçalho de uma linha que impede os navegadores de adivinharem o que um ficheiro realmente é. Sem ele, um ficheiro que alguém carregue para o seu site — ou um ficheiro nas suas próprias páginas — pode ser mal interpretado pelo navegador e executado como código, que é exatamente como alguns ataques transformam um carregamento de aparência inofensiva numa forma de roubar as sessões dos seus clientes. - Referrer-Policy
Uma Referrer-Policy é uma instrução de uma linha que o seu site entrega ao navegador de cada visitante, controlando quanto do seu endereço web viaja com ele quando clica numa ligação para outro site. Sem ela, o endereço completo da página onde estava — termos de pesquisa, números de conta, ligações de reposição, caminhos internos e tudo — é entregue discretamente ao próximo site onde aterra, incluindo anunciantes, empresas de análise de dados e qualquer outro destino para onde uma ligação aponte. - Registos CAA
Um registo CAA é uma instrução curta nas definições do seu domínio que nomeia quais as empresas de certificados autorizadas a emitir o certificado de segurança do «cadeado» do seu site. Com ele ativado, nenhuma outra empresa pode criar discretamente um certificado válido em seu nome. - Registos MX (Configuração de Correio)
Um registo MX é o sinal que indica ao resto do mundo onde entregar o e-mail dirigido ao seu domínio. Se estiver em falta ou avariado, todas as mensagens enviadas para a sua empresa — pedidos de clientes, recuperações de palavra-passe, faturas, contratos — voltam direto para o remetente. Sem MX, não há caixa de entrada. - Saúde do certificado TLS
O seu certificado SSL/TLS é o cartão de identidade digital que prova que um visitante está mesmo a falar com o seu site — e não com um impostor — e alimenta o cadeado no navegador. Esta verificação observa se esse certificado é válido e de confiança, se não está prestes a expirar e se foi construído com criptografia forte e moderna. - SPF (Sender Policy Framework)
O SPF é a linha nas definições do seu domínio que indica quais os serviços de correio autorizados a enviar e-mail em nome da sua empresa. Sem ele, qualquer pessoa no mundo pode enviar e-mails que parecem vir de si — e o seu próprio e-mail legítimo tem mais probabilidade de cair no spam dos clientes. - Suporte de IPv6
O IPv6 é a versão mais recente e muito maior do sistema de endereçamento da internet, introduzida porque a antiga (IPv4) ficou sem espaço. Adicionar suporte de IPv6 significa que o seu site e o seu e-mail podem ser alcançados pela rede moderna, além da antiga. Na nossa pontuação isto é informativo — não o ter não baixa a sua nota — mas é uma questão real de alcance: uma fatia crescente de clientes em telemóvel e no estrangeiro liga-se por redes só de IPv6, e só o alcança sem percalços se o suportar. A correção é gratuita e vive na sua configuração de DNS e de alojamento.