Quando se trata de enviar informações pessoais pela Internet – sejam informações de contato, credenciais de login, informações de conta, informações de localização ou qualquer outra coisa que possa ser abusada – o público é, em geral, totalmente paranóico com relação a hackers e ladrões de identidade. E com razão. O medo de que suas informações possam ser roubadas, adulteradas ou desviadas está longe de ser irracional. As manchetes sobre vazamentos e violações de segurança nas últimas décadas provam isso. Mas, apesar desse medo, as pessoas continuam se conectando para fazer transações bancárias, fazer compras, registrar no diário, namorar, socializar e outros negócios pessoais e profissionais na web. E há uma pequena coisa que lhes dá confiança para fazer isso. Vou mostrar para você:
Embora nem todos entendam como funciona, aquele pequeno cadeado na barra de endereço sinaliza aos usuários da web que eles têm uma conexão confiável com um site legítimo. Se os visitantes não virem isso na barra de endereço quando acessarem seu site, você não conseguirá – e não deveria – conseguir o negócio deles.
Para obter aquele pequeno cadeado na barra de endereço do seu site, você precisa de um certificado SSL. Como você consegue um? Leia mais para descobrir.
Esboço do artigo:
Na web, os dados são transferidos usando o protocolo de transferência de hipertexto. É por isso que todos os URLs de páginas da web têm “http://” ou “http s ://” na frente deles.
Qual é a diferença entre http e https? Esse pequeno S extra tem grandes implicações: Segurança.
Deixe-me explicar.
HTTP é a “linguagem” que seu computador e o servidor usam para se comunicarem. Essa linguagem é universalmente compreendida, o que é conveniente, mas também tem suas desvantagens. Quando os dados são transmitidos entre você e um servidor pela Internet, ele fará algumas paradas no caminho antes de chegar ao destino final. Isso representa três grandes riscos:
Que alguém possa escutar sua conversa (como uma espécie de escuta digital).
Que alguém possa se passar por uma (ou ambas) das partes em ambos os lados.
Que alguém possa interferir nas mensagens que estão sendo transferidas.
Hackers e idiotas usam uma combinação dos itens acima para uma série de golpes e assaltos, incluindo manobras de phishing, ataques man-in-the-middle e a boa e velha publicidade. Os ataques maliciosos podem ser tão simples como detectar credenciais do Facebook através da intercepção de cookies não encriptados (espionagem), ou podem ser mais sofisticados. Por exemplo, você pode pensar que está dizendo ao seu banco: “Por favor, transfira US$ 100 para meu ISP”, mas alguém intermediário pode alterar a mensagem para: “Por favor, transfira US$ 100 de todo o meu dinheiro para meu ISP Peggy na Sibéria” (adulteração de dados). e personificação).
Então, esses são os problemas com HTTP. Para resolver esses problemas, o HTTP pode ser colocado em camadas com um protocolo de segurança, resultando em HTTP Secure (HTTPS). Mais comumente, o S em HTTPS é fornecido pelo protocolo Secure Sockets Layer (SSL) ou pelo protocolo Transport Layer Security (TLS) mais recente. Quando implantado, o HTTPS oferece criptografia bidirecional (para evitar espionagem), autenticação de servidor (para evitar personificação) e autenticação de mensagens (para evitar adulteração de dados).
Assim como uma língua falada, o HTTPS só funciona se ambas as partes decidirem falá-lo. Do lado do cliente, a escolha de usar HTTPS pode ser feita digitando “https” na barra de endereço do navegador antes da URL (por exemplo, em vez de digitar http://www.facebook.com, digite https://www.facebook .com) ou instalando uma extensão que força HTTPS automaticamente, como HTTPS Everywhere para Firefox e Chrome . Quando seu navegador estiver usando HTTPS, você verá um ícone de cadeado, uma barra verde do navegador, um polegar para cima ou algum outro sinal de que sua conexão com o servidor é segura.
No entanto, para usar HTTPS, o servidor web deve suportá-lo. Se você é um webmaster e deseja oferecer HTTPS aos visitantes da web, precisará de um certificado SSL ou certificado TLS. Como você obtém um certificado SSL ou TLS? Continue lendo.
Leitura adicional: Alguns aplicativos da web populares permitem que você escolha HTTPS nas configurações do usuário. Leia nossos artigos no Facebook , Gmail e Twitter .
Para usar HTTPS, seu servidor web deve ter um certificado SSL ou certificado TLS instalado. Um certificado SSL/TLS é como uma espécie de identificação com foto do seu site. Quando um navegador usando HTTPS acessa sua página da web, ele realiza um “handshake”, durante o qual o computador cliente solicita o certificado SSL. O certificado SSL é então validado por uma autoridade de certificação (CA) confiável, que verifica se o servidor é quem diz ser. Se tudo estiver certo, o visitante da web receberá uma reconfortante marca de seleção verde ou um ícone de cadeado. Se algo der errado, eles receberão um aviso do navegador informando que a identidade do servidor não pode ser confirmada.
Quando se trata de instalar um certificado SSL em seu site, há uma infinidade de parâmetros para decidir. Vamos ao mais importante:
A autoridade certificadora (CA) é a empresa que emite o seu certificado SSL e é quem validará o seu certificado cada vez que um visitante acessar o seu site. Embora cada provedor de certificado SSL concorra em preço e recursos, a primeira coisa a considerar ao avaliar as autoridades de certificação é se elas possuem ou não certificados pré-instalados nos navegadores da web mais populares. Se a autoridade de certificação que emite seu certificado SSL não estiver nessa lista, o usuário receberá um aviso de que o certificado de segurança do site não é confiável. Claro, isso não significa que seu site seja ilegítimo – significa apenas que sua CA (ainda) não está na lista. Isso é um problema porque a maioria dos usuários não se preocupa em ler o aviso ou em pesquisar a CA não reconhecida. Eles provavelmente simplesmente clicarão.
Felizmente, a lista de CAs pré-instaladas nos principais navegadores é bastante considerável. Inclui algumas grandes marcas, bem como CAs menos conhecidas e mais acessíveis. Os nomes familiares incluem Verisign , Go Daddy , Comodo, Thawte, Geotrust e Entrust.
Você também pode consultar as configurações do seu próprio navegador para ver quais autoridades de certificação vêm pré-instaladas.
| Tempo típico de emissão | Custo | Barra de endereço | |
| Validação de Domínio | Quase instantaneamente | Baixo | HTTPS normal (ícone de cadeado) |
| Validação da Organização | Alguns dias | Meio | HTTPS normal (ícone de cadeado) |
| Validação Estendida | Uma semana ou mais | Alto | Barra de endereço verde, informações de verificação de ID da empresa |
Um certificado SSL serve para provar a identidade do site para o qual você está enviando informações. Para garantir que as pessoas não obtenham certificados SSL falsos para domínios que não controlam legitimamente, uma autoridade de certificação validará se a pessoa que solicita o certificado é de fato o proprietário do nome de domínio. Normalmente, isso é feito por meio de uma validação rápida por e-mail ou chamada telefônica, semelhante a quando um site envia um e-mail com um link de confirmação de conta. Isso é chamado de certificado SSL validado por domínio . A vantagem disso é que permite que certificados SSL sejam emitidos quase imediatamente. Você provavelmente poderia obter um certificado SSL validado por domínio em menos tempo do que levou para ler esta postagem do blog. Com um certificado SSL validado por domínio, você obtém o cadeado e a capacidade de criptografar o tráfego do seu site.
As vantagens de um certificado SSL validado por domínio é que ele é rápido, fácil e barato de obter. Esta também é a sua desvantagem. Como você pode imaginar, é mais fácil enganar um sistema automatizado do que um executado por seres humanos vivos. É como se um garoto do ensino médio entrasse no DMV dizendo que era Barack Obama e queria obter uma identidade emitida pelo governo. A pessoa na recepção daria uma olhada nele e ligaria para os federais (ou para o hospício). Mas se fosse um robô trabalhando em um quiosque de identificação com foto, ele poderia ter um pouco de sorte. De maneira semelhante, os phishers podem obter “IDs falsas” para sites como Paypal, Amazon ou Facebook, enganando os sistemas de validação de domínio. Em 2009, Dan Kaminsky publicou um exemplo de uma maneira de enganar CAs para obter certificados que fariam um site de phishing parecer uma conexão segura e legítima. Para um ser humano, esse golpe seria fácil de detectar. No entanto, a validação automatizada de domínio da época carecia das verificações necessárias para evitar algo assim.
Em resposta às vulnerabilidades dos certificados SSL e SSL validados por domínio, a indústria introduziu o certificado de Validação Estendida . Para obter um certificado EV SSL, sua empresa ou organização deve passar por uma verificação rigorosa para garantir que esteja em situação regular com seu governo e controle legitimamente o domínio para o qual você está solicitando. Estas verificações, entre outras, requerem um elemento humano e, portanto, demoram mais tempo e são mais caras.
Em algumas indústrias, é necessário um certificado EV. Mas para outros, o benefício só vai até onde os visitantes reconhecerão. Para os visitantes diários da web, a diferença é sutil. Além do ícone de cadeado, a barra de endereço fica verde e exibe o nome da sua empresa. Se você clicar para obter mais informações, verá que a identidade da empresa foi verificada, não apenas o site.
Aqui está um exemplo de um site HTTPS normal:
E aqui está um exemplo de site HTTPS com certificado EV:
Dependendo do seu setor, um certificado EV pode não valer a pena. Além disso, você deve ser uma empresa ou organização para obter um. Embora as grandes empresas estejam tendendo à certificação EV, você notará que a maioria dos sites HTTPS ainda ostenta o sabor não-EV. Se for bom o suficiente para Google, Facebook e Dropbox, talvez seja bom o suficiente para você.
Mais uma coisa: existe uma opção intermediária chamada certificação validada pela organização ou validada pelo negócio . Esta é uma verificação mais completa do que a validação de domínio automatizada, mas não chega ao ponto de atender às regulamentações do setor para um certificado de Validação Estendida (observe como a Validação Estendida é capitalizada e a “validação organizacional” não é?). Uma certificação OV ou validada por negócios custa mais e leva mais tempo, mas não fornecerá a barra de endereço verde e as informações verificadas de identidade da empresa. Francamente, não consigo pensar em um motivo para pagar por um certificado OV. Se você conseguir pensar em um, por favor, me esclareça nos comentários.
Alguns hosts da web oferecem um serviço SSL compartilhado, que geralmente é mais acessível do que um SSL privado. Além do preço, o benefício de um SSL compartilhado é que você não precisa obter um endereço IP privado ou um host dedicado. A desvantagem é que você não pode usar seu próprio nome de domínio. Em vez disso, a parte segura do seu site será algo como:
https://www.hostgator.com/~seudominio/secure.php
Compare isso com um endereço SSL privado:
https://www.seudominio.com/secure.php
Para sites públicos, como sites de comércio eletrônico e sites de redes sociais, isso é obviamente uma chatice, pois parece que você foi redirecionado do site principal. Mas para áreas que normalmente não são visualizadas pelo público em geral, como as entranhas de um sistema de correio ou uma área de administrador, um SSL compartilhado pode ser um bom negócio.
Muitas autoridades de certificação permitem que você coloque um selo de confiança em sua página da Web depois de se inscrever para obter um de seus certificados. Isso fornece praticamente as mesmas informações que você obteria ao clicar no cadeado na janela do navegador, mas com maior visibilidade. Incluir um selo de confiança não é obrigatório, nem amplifica sua segurança, mas se isso dá aos seus visitantes a sensação de saber quem emitiu o certificado SSL, por favor, jogue-o lá.
Um certificado SSL verifica a identidade de um domínio. Portanto, se você quiser ter HTTPS em vários subdomínios – por exemplo, groovypost.com, mail.groovypost.com e forum.groovypost.com – você precisará comprar três certificados SSL diferentes. A certa altura, um certificado SSL curinga se torna mais econômico. Ou seja, um certificado para cobrir um domínio e todos os subdomínios, ou seja, *.groovypost.com.
Não importa quão antiga seja a boa reputação de uma empresa, existem vulnerabilidades. Até mesmo CAs confiáveis podem ser alvo de hackers, como evidenciado pela violação na VeriSign que não foi relatada em 2010. Além disso, o status de uma CA na lista confiável pode ser rapidamente revogado, como vimos com a confusão do DigiNotar em 2011. Coisas acontecem .
Para amenizar qualquer desconforto sobre o potencial de tais atos aleatórios de devassidão SSL, muitas CAs agora oferecem garantias. A cobertura varia de alguns milhares de dólares a mais de um milhão de dólares e inclui perdas resultantes do uso indevido do seu certificado ou outros acidentes. Não tenho ideia se essas garantias realmente agregam valor ou não, ou se alguém já ganhou uma reclamação com sucesso. Mas eles estão lá para sua consideração.
Existem dois tipos de certificados SSL gratuitos disponíveis. Um autoassinado, usado principalmente para testes privados e certificados SSL totalmente voltados para o público, emitidos por uma autoridade de certificação válida. A boa notícia é que, em 2018, existem algumas opções para obter certificados SSL válidos por 90 dias, 100% gratuitos, tanto do SSL for Free quanto do Let's Encrypt . SSL for Free é principalmente uma GUI para a API Let's Encrypt. A vantagem do site SSL for Free é que ele é simples de usar, pois possui uma interface gráfica agradável. Let's Encrypt, no entanto, é bom porque você pode automatizar totalmente a solicitação de certificados SSL deles. É ideal se você precisar de certificados SSL para vários sites/servidores.
Um certificado SSL autoassinado é gratuito para sempre. Com um certificado autoassinado, você é sua própria CA. No entanto, como você não está entre as CAs confiáveis incorporadas aos navegadores da Web, os visitantes receberão um aviso de que a autoridade não é reconhecida pelo sistema operacional. Como tal, não há realmente nenhuma garantia de que você é quem diz ser (é como emitir um documento de identidade com foto e tentar passá-lo em uma loja de bebidas). A vantagem de um certificado SSL autoassinado, entretanto, é que ele permite a criptografia do tráfego da web. Pode ser bom para uso interno, onde você pode fazer com que sua equipe adicione sua organização como uma CA confiável para se livrar da mensagem de aviso e trabalhar em uma conexão segura pela Internet.
Para obter instruções sobre como configurar um certificado SSL autoassinado, consulte a documentação do OpenSSL. (Ou, se houver demanda suficiente, escreverei um tutorial.)
Depois de adquirir seu certificado SSL, você precisa instalá-lo em seu site. Um bom host se oferecerá para fazer isso por você. Alguns podem até chegar ao ponto de comprá-lo para você. Muitas vezes, esta é a melhor opção, pois simplifica o faturamento e garante que ele seja configurado corretamente para o seu servidor web.
Ainda assim, você sempre tem a opção de instalar um certificado SSL que comprou por conta própria. Se você fizer isso, você pode começar consultando a base de conhecimento do seu host ou abrindo um ticket de suporte técnico. Eles direcionarão você para as melhores instruções para instalar seu certificado SSL. Deverá também consultar as instruções fornecidas pela AC. Eles lhe darão uma orientação melhor do que qualquer conselho genérico que eu possa lhe dar aqui.
Você também pode verificar as seguintes instruções para instalar um certificado SSL:
Todas essas instruções envolverão a criação de uma solicitação de assinatura de certificado SSL (CSR). Na verdade, você precisará de um CSR apenas para emitir um certificado SSL. Novamente, seu host pode ajudá-lo com isso. Para obter informações mais específicas sobre DIY sobre a criação de um CSR, confira este artigo da DigiCert .
Já estabelecemos firmemente os prós do HTTPS: segurança, segurança, segurança. Isso não apenas reduz o risco de violação de dados, mas também inspira confiança e adiciona reputação ao seu site. Clientes experientes podem nem se preocupar em se inscrever se virem um “http://” na página de login.
Existem, no entanto, alguns contras no HTTPS. Dada a necessidade de HTTPS para certos tipos de sites, faz mais sentido pensar nisso como “ considerações ” em vez de negativas.
Você tem alguma outra dúvida ou comentário sobre certificados HTTPS e SSL/TLS? Deixe-me ouvir nos comentários.
Cansado de corrigir o código de erro 0x0003 da Nvidia Geforce Experience no PC com Windows 10 e nada está funcionando? Em seguida, siga as correções fáceis fornecidas neste artigo.
Você está enfrentando NOX Player No Sound Issue enquanto joga seu jogo favorito? Em seguida, leia este guia detalhado e resolva o problema.
Aprenda a solucionar vários erros do Call of Duty Advanced Warfare, como travamentos, gagueira e FPS baixo para uma experiência de jogo otimizada.
Um erro fatal "falha ao carregar steamui.dll" no Steam pode ser corrigido. Confira as soluções eficazes para resolver este problema.
Obtendo o Twitch Error 3000 no Chrome, siga as soluções fornecidas e comece a vaporizar o Twitch sem o erro de decodificação do recurso 3000 Media.
Quer CORRIGIR ERROS DO AMERICAN TRUCK SIMULATOR: CRASH, LOW FPS, STEAM_API64.DLL ESTÁ FALTANDO PROBLEMA e MAIS, então siga as soluções fornecidas com cuidado.
Saiba como você pode facilmente tornar o Word 365 mais rápido ao desabilitar suplementos, atualizar seu hardware e se livrar de arquivos temporários.
Aprenda a corrigir erros d3dx9_39.dll e DirectX em League Of Legends. Siga as soluções fornecidas para resolver erros DirectX ausentes d3dx9_39.dll.
Se o controlador PS5 não se conectar ou não sincronizar, experimente estas soluções testadas e comprovadas para corrigir esses problemas de conexão.
Saiba como solucionar o erro "NTLDR está faltando" no Windows com as soluções mais eficientes. Conheça também o que causa o erro NTLDR e outras informações relevantes.
![[RESOLVIDO] Erros do Call of Duty Advanced Warfare - travando, travando, FPS baixo e mais](https://luckytemplates.com/resources1/images2/image-6547-0408150359208.png "[RESOLVIDO] Erros do Call of Duty Advanced Warfare - travando, travando, FPS baixo e mais")
![Como corrigir o erro 3000 do Twitch? [100% resolvido]](https://luckytemplates.com/resources1/images2/image-8735-0408151115015.png "Como corrigir o erro 3000 do Twitch? [100% resolvido]")
![[RESOLVIDO] Erros do American Truck Simulator: Crash, Steam_Api64.Dll está ausente e mais](https://luckytemplates.com/resources1/images2/image-8887-0408151238368.png "[RESOLVIDO] Erros do American Truck Simulator: Crash, Steam_Api64.Dll está ausente e mais")
![[RESOLVIDO] Como corrigir League Of Legends d3dx9_39.dll ausente, erro DirectX](https://luckytemplates.com/resources1/images2/image-4059-0408151106351.png "[RESOLVIDO] Como corrigir League Of Legends d3dx9_39.dll ausente, erro DirectX")
