Se você coletar informações confidenciais em seu site (incluindo e-mail e senha), você precisa estar seguro. Uma das melhores maneiras de se manter seguro é habilitar um certificado HTTPS, também conhecido como SSL (Secure Sockets Layers), para que todas as informações que chegam e saem do seu servidor sejam criptografadas automaticamente. Um certificado HTTPS impede que hackers invadam as informações confidenciais de seus usuários enquanto estão armazenadas na Internet. Eles se sentirão seguros quando virem um certificado HTTPS ao acessar seu site, sabendo que ele está protegido por um certificado de segurança.
Benefícios de um certificado
A melhor coisa sobre um certificado SSL, assim como HTTPS, é que é fácil de configurar e, uma vez feito isso, você precisará direcionar as pessoas para usar um certificado HTTPS em vez de HTTP. Se você tentar acessar seu site colocando https:// na frente de suas URLs agora, receberá um erro de certificado HTTPS. Isso ocorre porque você não instalou um certificado HTTPS SSL. Mas não se preocupe, vamos configurá-lo imediatamente!
Seus visitantes se sentirão mais seguros em seu site quando virem um certificado HTTPS ao acessar seu site- sabendo que está protegido por um certificado de segurança.
O que é
HTTP ou HTTPS é exibido no início de cada URL de site em um navegador da web. HTTP significa Hypertext Transfer Protocol e o S em HTTPS significa Secure. Em geral, isso descreve o protocolo pelo qual os dados são enviados entre seu navegador e o site que você está visualizando.
Um certificado HTTPS garante que toda a comunicação entre seu navegador e o site que você está visualizando seja criptografada. Isso significa que é seguro. Apenas os computadores receptores e emissores podem ver as informações enquanto os dados estão sendo transferidos (outros podem acessá-los, mas não podem lê-los). Em sites seguros, o navegador da web exibe um ícone de cadeado na área de URL para notificá-lo.
HTTPS deve estar em qualquer site que colete senhas, pagamentos, informações médicas ou outros dados confidenciais. Mas e se você conseguir um certificado SSL gratuito e válido para o seu domínio?
Como funciona a proteção do site?
Para habilitar o certificado de segurança HTTPS, você precisa instalar SSL (Secure Socket Layer). Ele contém a chave pública necessária para iniciar a sessão com segurança. Quando uma conexão HTTPS para uma página da web é solicitada, o site envia um certificado SSL ao seu navegador. Eles então iniciam um "aperto de mão SSL", que envolve o compartilhamento de "segredos" para estabelecer uma conexão segura entre seu navegador e o site.
SSL Padrão e Estendido
Se o site usa um certificado SSL padrão, você verá um ícone de cadeado na área de URL do seu navegador. Se um certificado Extended Validation (EV) for usado, a barra de endereço ou URL ficará verde. Os padrões EV SSL são superiores aos padrões SSL. EV SSL fornece prova da identidade do proprietário do domínio. A obtenção de uma certificação EV SSL também exige que os candidatos passem por um rigoroso processo de avaliação para verificar sua autenticidade e propriedade.
O que acontece se você usar HTTPS sem um certificado?
Mesmo que seu site não aceite ou compartilhe dados confidenciais, há vários motivos pelos quais você pode querer ter um site seguro e usar um certificado SSL gratuito e válido para seu domínio.
Desempenho. O SSL pode melhorar o tempo necessário para carregar uma página.
Otimização para mecanismos de busca (SEO). O objetivo do Google é manter a internet segura e protegida para todos, não apenas para aqueles que usam Google Chrome, Gmail e Drive, por exemplo. A empresa disse que a segurança será um fator em como eles classificam os sites nos resultados de pesquisa. Até agora isso não é suficiente. No entanto, se você tiver um site seguro e seus concorrentes não, seu site poderá ter uma classificação mais alta, o que pode ser necessário para aumentar sua popularidade na página de resultados de pesquisa.
Se seu site não for seguro e coletar senhas ou cartões de crédito, os usuários do Chrome 56 (lançado em janeiro de 2017) verão um aviso de queque o site não é seguro. Os visitantes não familiarizados com a tecnologia (a maioria dos usuários do site) podem ficar alarmados ao ver uma caixa "erro de certificado HTTPS" e sair do site simplesmente porque não entendem o que isso significa. Por outro lado, se o seu site for seguro, pode deixar os visitantes mais à vontade, tornando-os mais propensos a preencher um formulário de registro ou deixar um comentário em seu site. O Google tem um plano de longo prazo para mostrar todos os sites HTTP como inseguros no Chrome.
Onde posso obter um certificado HTTPS gratuito?
Você recebe um certificado SSL de uma autoridade de certificação. Esses certificados são válidos por 90 dias, mas recomenda-se uma renovação de 60 dias. Algumas fontes gratuitas confiáveis:
- Cloudflare: Gratuito para sites e blogs pessoais.
- FreeSSL: gratuito para organizações sem fins lucrativos e startups no momento; não pode ser um cliente Symantec, Thawte, GeoTrust ou RapidSSL.
- StartSSL: Os certificados são válidos por 1 a 3 anos.
- GoDaddy: Certificados para projetos de código aberto, válidos por 1 ano.
O tipo de certificado e o período de validade dependem da fonte. A maioria das autoridades oferece certificados SSL padrão gratuitamente e cobram por certificados SSL EV se os fornecerem. A Cloudflare oferece planos gratuitos e pagos e várias opções adicionais.
O que considerar ao receberCertificado SSL?
O Google recomenda um certificado com uma chave de 2048 bits aqui. Se você já possui um certificado de 1024 bits mais fraco, recomenda-se atualizá-lo.
Você precisará decidir se precisa de um, vários domínios ou um certificado curinga:
- Um certificado será usado para um domínio (por exemplo, www.example.com).
- O certificado de vários domínios será usado para vários domínios conhecidos (por exemplo, www.example.com, cdn.example.com, example.co.uk).
- O certificado curinga será usado para um domínio seguro com muitos subdomínios dinâmicos (por exemplo, a.example.com, b.example.com).
Como instalo um certificado SSL?
Seu host pode instalar um certificado gratuitamente ou por uma taxa. Alguns hosts realmente têm a opção de instalar o Let's Encrypt em seu cPanel pessoal, o que facilita as coisas. Pergunte ao seu host atual ou encontre um que ofereça suporte direto para Let's Encrypt. Se o host não fornecer esse serviço, sua empresa de manutenção de site ou desenvolvedor pode instalar o certificado para você. Você deve estar preparado para o fato de que terá que renovar o certificado com muita frequência. Verifique o prazo com o certificado.
O que mais precisa ser feito?
Depois de obter e instalar um certificado SSL, você precisa aplicar o SSL no site. Novamente, você pode pedir ao seu host, empresa de serviços oudesenvolvedor para executar esta ação. No entanto, se você preferir fazer você mesmo e seu site for desenvolvido com WordPress, você pode fazer isso baixando, instalando e usando o plugin. Com a última opção, verifique a compatibilidade com sua versão do WordPress.
Dois plugins de aplicação SSL populares: SSLWP simples, plugin SSLSSL aplicado. Certifique-se de fazer backup do seu site e tenha muito cuidado ao fazê-lo. Se você configurar algo errado, isso pode ter consequências desastrosas: os visitantes não poderão ver seu site, as imagens não serão exibidas, os scripts não serão carregados, o que afetará o funcionamento de algumas coisas no site, como tipografia e cores não está sendo exibido corretamente.
Você precisa redirecionar usuários e mecanismos de busca para páginas HTTPS usando redirecionamentos 301 no arquivo.htaccess na pasta raiz do servidor. O arquivo.htaccess é um arquivo invisível, portanto, certifique-se de que seu programa de FTP esteja configurado para mostrar arquivos ocultos. No FileZilla, por exemplo, vá para Server> Forçar visualização de arquivos ocultos. FileZillaAntes, antes de adicionar redirecionamentos, seria uma boa ideia fazer backup de seu arquivo.htaccess. No servidor, renomeie temporariamente o arquivo removendo o ponto (que o torna invisível em primeiro lugar), baixe o arquivo (que agora estará visível no seu computador como resultado da remoção do ponto) e adicione o ponto novamente para o que está no servidor.
Alterar configuraçõesGoogle Analytics
Depois de concluir essas etapas, você precisa alterar seu URL preferido em sua conta do Google Analytics para exibir a versão HTTPS de seu domínio. Caso contrário, suas estatísticas de tráfego serão desativadas porque a versão HTTP da URL é tratada como um site completamente diferente da versão HTTPS do certificado. O Google Search Console também trata HTTP e HTTPS como domínios separados, portanto, adicione uma conta de domínio HTTPS a ele. Lembre-se, quando você muda do certificado HTTP para HTTPS, se o seu site tiver botões de acesso especiais, o contador será zerado.