Certificados HTTPS e SSL: torne seu site seguro (e por que você deveria)

Quando se trata de enviar informações pessoais pela Internet – sejam informações de contato, credenciais de login, informações de conta, informações de localização ou qualquer outra coisa que possa ser abusada – o público é, em geral, totalmente paranóico com relação a hackers e ladrões de identidade. E com razão. O medo de que suas informações possam ser roubadas, adulteradas ou desviadas está longe de ser irracional. As manchetes sobre vazamentos e violações de segurança nas últimas décadas provam isso. Mas, apesar desse medo, as pessoas continuam se conectando para fazer transações bancárias, fazer compras, registrar no diário, namorar, socializar e outros negócios pessoais e profissionais na web. E há uma pequena coisa que lhes dá confiança para fazer isso. Vou mostrar para você:

Embora nem todos entendam como funciona, aquele pequeno cadeado na barra de endereço sinaliza aos usuários da web que eles têm uma conexão confiável com um site legítimo. Se os visitantes não virem isso na barra de endereço quando acessarem seu site, você não conseguirá – e não deveria – conseguir o negócio deles.

Para obter aquele pequeno cadeado na barra de endereço do seu site, você precisa de um certificado SSL. Como você consegue um? Leia mais para descobrir.

Esboço do artigo:

• O que é SSL/TLS?
• Como usar HTTPS?
• O que é um certificado SSL e como posso obtê-lo?
• Guia de compra de certificado SSL
  • Autoridade Certificadora
  • Validação de Domínio vs. Validação Estendida
  • SSL compartilhado vs. SSL privado
  • Selos de confiança
  • Certificados SSL curinga
  • Garantias
  • Certificados SSL gratuitos e certificados SSL autoassinados
• Instalando um certificado SSL
• Prós e contras do HTTPS

O que é SSL/TLS?

Na web, os dados são transferidos usando o protocolo de transferência de hipertexto. É por isso que todos os URLs de páginas da web têm “http://” ou “http s ://” na frente deles.

Qual é a diferença entre http e https? Esse pequeno S extra tem grandes implicações: Segurança.

Deixe-me explicar.

HTTP é a “linguagem” que seu computador e o servidor usam para se comunicarem. Essa linguagem é universalmente compreendida, o que é conveniente, mas também tem suas desvantagens. Quando os dados são transmitidos entre você e um servidor pela Internet, ele fará algumas paradas no caminho antes de chegar ao destino final. Isso representa três grandes riscos:

• Que alguém possa escutar sua conversa (como uma espécie de escuta digital).

• Que alguém possa se passar por uma (ou ambas) das partes em ambos os lados.

• Que alguém possa interferir nas mensagens que estão sendo transferidas.

Hackers e idiotas usam uma combinação dos itens acima para uma série de golpes e assaltos, incluindo manobras de phishing, ataques man-in-the-middle e a boa e velha publicidade. Os ataques maliciosos podem ser tão simples como detectar credenciais do Facebook através da intercepção de cookies não encriptados (espionagem), ou podem ser mais sofisticados. Por exemplo, você pode pensar que está dizendo ao seu banco: “Por favor, transfira US$ 100 para meu ISP”, mas alguém intermediário pode alterar a mensagem para: “Por favor, transfira US$ 100 de todo o meu dinheiro para meu ISP Peggy na Sibéria” (adulteração de dados). e personificação).

Então, esses são os problemas com HTTP. Para resolver esses problemas, o HTTP pode ser colocado em camadas com um protocolo de segurança, resultando em HTTP Secure (HTTPS). Mais comumente, o S em HTTPS é fornecido pelo protocolo Secure Sockets Layer (SSL) ou pelo protocolo Transport Layer Security (TLS) mais recente. Quando implantado, o HTTPS oferece criptografia bidirecional (para evitar espionagem), autenticação de servidor (para evitar personificação) e autenticação de mensagens (para evitar adulteração de dados).

Como usar HTTPS

Assim como uma língua falada, o HTTPS só funciona se ambas as partes decidirem falá-lo. Do lado do cliente, a escolha de usar HTTPS pode ser feita digitando “https” na barra de endereço do navegador antes da URL (por exemplo, em vez de digitar http://www.facebook.com, digite https://www.facebook .com) ou instalando uma extensão que força HTTPS automaticamente, como HTTPS Everywhere para Firefox e Chrome . Quando seu navegador estiver usando HTTPS, você verá um ícone de cadeado, uma barra verde do navegador, um polegar para cima ou algum outro sinal de que sua conexão com o servidor é segura.

No entanto, para usar HTTPS, o servidor web deve suportá-lo. Se você é um webmaster e deseja oferecer HTTPS aos visitantes da web, precisará de um certificado SSL ou certificado TLS. Como você obtém um certificado SSL ou TLS? Continue lendo.

Leitura adicional: Alguns aplicativos da web populares permitem que você escolha HTTPS nas configurações do usuário. Leia nossos artigos no Facebook , Gmail e Twitter .

O que é um certificado SSL e como posso obtê-lo?

Para usar HTTPS, seu servidor web deve ter um certificado SSL ou certificado TLS instalado. Um certificado SSL/TLS é como uma espécie de identificação com foto do seu site. Quando um navegador usando HTTPS acessa sua página da web, ele realiza um “handshake”, durante o qual o computador cliente solicita o certificado SSL. O certificado SSL é então validado por uma autoridade de certificação (CA) confiável, que verifica se o servidor é quem diz ser. Se tudo estiver certo, o visitante da web receberá uma reconfortante marca de seleção verde ou um ícone de cadeado. Se algo der errado, eles receberão um aviso do navegador informando que a identidade do servidor não pode ser confirmada.

Comprando um certificado SSL

Quando se trata de instalar um certificado SSL em seu site, há uma infinidade de parâmetros para decidir. Vamos ao mais importante:

Autoridade Certificadora

A autoridade certificadora (CA) é a empresa que emite o seu certificado SSL e é quem validará o seu certificado cada vez que um visitante acessar o seu site. Embora cada provedor de certificado SSL concorra em preço e recursos, a primeira coisa a considerar ao avaliar as autoridades de certificação é se elas possuem ou não certificados pré-instalados nos navegadores da web mais populares. Se a autoridade de certificação que emite seu certificado SSL não estiver nessa lista, o usuário receberá um aviso de que o certificado de segurança do site não é confiável. Claro, isso não significa que seu site seja ilegítimo – significa apenas que sua CA (ainda) não está na lista. Isso é um problema porque a maioria dos usuários não se preocupa em ler o aviso ou em pesquisar a CA não reconhecida. Eles provavelmente simplesmente clicarão.

Felizmente, a lista de CAs pré-instaladas nos principais navegadores é bastante considerável. Inclui algumas grandes marcas, bem como CAs menos conhecidas e mais acessíveis. Os nomes familiares incluem Verisign , Go Daddy , Comodo, Thawte, Geotrust e Entrust.

Você também pode consultar as configurações do seu próprio navegador para ver quais autoridades de certificação vêm pré-instaladas.

• Para o Chrome, vá para Configurações -> Mostrar configurações avançadas… -> Gerenciar certificados.
• Para Firefox, vá em Opções –> Avançado –> Ver Certificados.
• Para IE, Opções da Internet -> Conteúdo -> Certificados.
• Para Safari, vá para o Finder e escolha Ir -> Utilitários -> KeyChain Access e clique em Sistema.

Validação de Domínio vs. Validação Estendida

Um certificado SSL serve para provar a identidade do site para o qual você está enviando informações. Para garantir que as pessoas não obtenham certificados SSL falsos para domínios que não controlam legitimamente, uma autoridade de certificação validará se a pessoa que solicita o certificado é de fato o proprietário do nome de domínio. Normalmente, isso é feito por meio de uma validação rápida por e-mail ou chamada telefônica, semelhante a quando um site envia um e-mail com um link de confirmação de conta. Isso é chamado de certificado SSL validado por domínio . A vantagem disso é que permite que certificados SSL sejam emitidos quase imediatamente. Você provavelmente poderia obter um certificado SSL validado por domínio em menos tempo do que levou para ler esta postagem do blog. Com um certificado SSL validado por domínio, você obtém o cadeado e a capacidade de criptografar o tráfego do seu site.

As vantagens de um certificado SSL validado por domínio é que ele é rápido, fácil e barato de obter. Esta também é a sua desvantagem. Como você pode imaginar, é mais fácil enganar um sistema automatizado do que um executado por seres humanos vivos. É como se um garoto do ensino médio entrasse no DMV dizendo que era Barack Obama e queria obter uma identidade emitida pelo governo. A pessoa na recepção daria uma olhada nele e ligaria para os federais (ou para o hospício). Mas se fosse um robô trabalhando em um quiosque de identificação com foto, ele poderia ter um pouco de sorte. De maneira semelhante, os phishers podem obter “IDs falsas” para sites como Paypal, Amazon ou Facebook, enganando os sistemas de validação de domínio. Em 2009, Dan Kaminsky publicou um exemplo de uma maneira de enganar CAs para obter certificados que fariam um site de phishing parecer uma conexão segura e legítima. Para um ser humano, esse golpe seria fácil de detectar. No entanto, a validação automatizada de domínio da época carecia das verificações necessárias para evitar algo assim.

Em resposta às vulnerabilidades dos certificados SSL e SSL validados por domínio, a indústria introduziu o certificado de Validação Estendida . Para obter um certificado EV SSL, sua empresa ou organização deve passar por uma verificação rigorosa para garantir que esteja em situação regular com seu governo e controle legitimamente o domínio para o qual você está solicitando. Estas verificações, entre outras, requerem um elemento humano e, portanto, demoram mais tempo e são mais caras.

Em algumas indústrias, é necessário um certificado EV. Mas para outros, o benefício só vai até onde os visitantes reconhecerão. Para os visitantes diários da web, a diferença é sutil. Além do ícone de cadeado, a barra de endereço fica verde e exibe o nome da sua empresa. Se você clicar para obter mais informações, verá que a identidade da empresa foi verificada, não apenas o site.

Aqui está um exemplo de um site HTTPS normal:

E aqui está um exemplo de site HTTPS com certificado EV:

Dependendo do seu setor, um certificado EV pode não valer a pena. Além disso, você deve ser uma empresa ou organização para obter um. Embora as grandes empresas estejam tendendo à certificação EV, você notará que a maioria dos sites HTTPS ainda ostenta o sabor não-EV. Se for bom o suficiente para Google, Facebook e Dropbox, talvez seja bom o suficiente para você.

Mais uma coisa: existe uma opção intermediária chamada certificação validada pela organização ou validada pelo negócio . Esta é uma verificação mais completa do que a validação de domínio automatizada, mas não chega ao ponto de atender às regulamentações do setor para um certificado de Validação Estendida (observe como a Validação Estendida é capitalizada e a “validação organizacional” não é?). Uma certificação OV ou validada por negócios custa mais e leva mais tempo, mas não fornecerá a barra de endereço verde e as informações verificadas de identidade da empresa. Francamente, não consigo pensar em um motivo para pagar por um certificado OV. Se você conseguir pensar em um, por favor, me esclareça nos comentários.

SSL compartilhado vs. SSL privado

Alguns hosts da web oferecem um serviço SSL compartilhado, que geralmente é mais acessível do que um SSL privado. Além do preço, o benefício de um SSL compartilhado é que você não precisa obter um endereço IP privado ou um host dedicado. A desvantagem é que você não pode usar seu próprio nome de domínio. Em vez disso, a parte segura do seu site será algo como:

https://www.hostgator.com/~seudominio/secure.php

Compare isso com um endereço SSL privado:

https://www.seudominio.com/secure.php

Para sites públicos, como sites de comércio eletrônico e sites de redes sociais, isso é obviamente uma chatice, pois parece que você foi redirecionado do site principal. Mas para áreas que normalmente não são visualizadas pelo público em geral, como as entranhas de um sistema de correio ou uma área de administrador, um SSL compartilhado pode ser um bom negócio.

Selos de confiança

Muitas autoridades de certificação permitem que você coloque um selo de confiança em sua página da Web depois de se inscrever para obter um de seus certificados. Isso fornece praticamente as mesmas informações que você obteria ao clicar no cadeado na janela do navegador, mas com maior visibilidade. Incluir um selo de confiança não é obrigatório, nem amplifica sua segurança, mas se isso dá aos seus visitantes a sensação de saber quem emitiu o certificado SSL, por favor, jogue-o lá.

Certificados SSL curinga

Um certificado SSL verifica a identidade de um domínio. Portanto, se você quiser ter HTTPS em vários subdomínios – por exemplo, groovypost.com, mail.groovypost.com e forum.groovypost.com – você precisará comprar três certificados SSL diferentes. A certa altura, um certificado SSL curinga se torna mais econômico. Ou seja, um certificado para cobrir um domínio e todos os subdomínios, ou seja, *.groovypost.com.

Garantias

Não importa quão antiga seja a boa reputação de uma empresa, existem vulnerabilidades. Até mesmo CAs confiáveis ​​podem ser alvo de hackers, como evidenciado pela violação na VeriSign que não foi relatada em 2010. Além disso, o status de uma CA na lista confiável pode ser rapidamente revogado, como vimos com a confusão do DigiNotar em 2011. Coisas acontecem .

Para amenizar qualquer desconforto sobre o potencial de tais atos aleatórios de devassidão SSL, muitas CAs agora oferecem garantias. A cobertura varia de alguns milhares de dólares a mais de um milhão de dólares e inclui perdas resultantes do uso indevido do seu certificado ou outros acidentes. Não tenho ideia se essas garantias realmente agregam valor ou não, ou se alguém já ganhou uma reclamação com sucesso. Mas eles estão lá para sua consideração.

Certificados SSL gratuitos e certificados SSL autoassinados

Existem dois tipos de certificados SSL gratuitos disponíveis. Um autoassinado, usado principalmente para testes privados e certificados SSL totalmente voltados para o público, emitidos por uma autoridade de certificação válida. A boa notícia é que, em 2018, existem algumas opções para obter certificados SSL válidos por 90 dias, 100% gratuitos, tanto do SSL for Free quanto do Let's Encrypt . SSL for Free é principalmente uma GUI para a API Let's Encrypt. A vantagem do site SSL for Free é que ele é simples de usar, pois possui uma interface gráfica agradável. Let's Encrypt, no entanto, é bom porque você pode automatizar totalmente a solicitação de certificados SSL deles. É ideal se você precisar de certificados SSL para vários sites/servidores.

Um certificado SSL autoassinado é gratuito para sempre. Com um certificado autoassinado, você é sua própria CA. No entanto, como você não está entre as CAs confiáveis ​​incorporadas aos navegadores da Web, os visitantes receberão um aviso de que a autoridade não é reconhecida pelo sistema operacional. Como tal, não há realmente nenhuma garantia de que você é quem diz ser (é como emitir um documento de identidade com foto e tentar passá-lo em uma loja de bebidas). A vantagem de um certificado SSL autoassinado, entretanto, é que ele permite a criptografia do tráfego da web. Pode ser bom para uso interno, onde você pode fazer com que sua equipe adicione sua organização como uma CA confiável para se livrar da mensagem de aviso e trabalhar em uma conexão segura pela Internet.

Para obter instruções sobre como configurar um certificado SSL autoassinado, consulte a documentação do OpenSSL. (Ou, se houver demanda suficiente, escreverei um tutorial.)

Instalando um certificado SSL

Depois de adquirir seu certificado SSL, você precisa instalá-lo em seu site. Um bom host se oferecerá para fazer isso por você. Alguns podem até chegar ao ponto de comprá-lo para você. Muitas vezes, esta é a melhor opção, pois simplifica o faturamento e garante que ele seja configurado corretamente para o seu servidor web.

Ainda assim, você sempre tem a opção de instalar um certificado SSL que comprou por conta própria. Se você fizer isso, você pode começar consultando a base de conhecimento do seu host ou abrindo um ticket de suporte técnico. Eles direcionarão você para as melhores instruções para instalar seu certificado SSL. Deverá também consultar as instruções fornecidas pela AC. Eles lhe darão uma orientação melhor do que qualquer conselho genérico que eu possa lhe dar aqui.

Você também pode verificar as seguintes instruções para instalar um certificado SSL:

• Como implementar SSL no IIS (Windows Server)
• Criptografia Apache SSL/TLS

Todas essas instruções envolverão a criação de uma solicitação de assinatura de certificado SSL (CSR). Na verdade, você precisará de um CSR apenas para emitir um certificado SSL. Novamente, seu host pode ajudá-lo com isso. Para obter informações mais específicas sobre DIY sobre a criação de um CSR, confira este artigo da DigiCert .

Prós e contras do HTTPS

Já estabelecemos firmemente os prós do HTTPS: segurança, segurança, segurança. Isso não apenas reduz o risco de violação de dados, mas também inspira confiança e adiciona reputação ao seu site. Clientes experientes podem nem se preocupar em se inscrever se virem um “http://” na página de login.

Existem, no entanto, alguns contras no HTTPS. Dada a necessidade de HTTPS para certos tipos de sites, faz mais sentido pensar nisso como “ considerações ” em vez de negativas.

• HTTPS custa dinheiro . Para começar, há o custo de compra e renovação do seu certificado SSL para garantir a validade ano após ano. Mas também existem certos “requisitos de sistema” para HTTPS, como um endereço IP dedicado ou um plano de hospedagem dedicado, que podem ser mais caros do que um pacote de hospedagem compartilhada.
• HTTPS pode retardar a resposta do servidor. Existem dois problemas relacionados ao SSL/TLS que podem diminuir a velocidade de carregamento da sua página. Primeiro, para começar a se comunicar com seu site pela primeira vez, o navegador do usuário deve passar pelo processo de handshake, que retorna ao site da autoridade certificadora para verificar o certificado. Se o servidor web da CA estiver lento, haverá um atraso no carregamento da sua página. Isso está muito além do seu controle. Em segundo lugar, o HTTPS utiliza criptografia, o que requer mais poder de processamento. Isso pode ser resolvido otimizando a largura de banda do seu conteúdo e atualizando o hardware do seu servidor. CloudFare tem uma boa postagem no blog sobre como e por que SSL pode tornar seu site lento.
• HTTPS pode impactar os esforços de SEO. Ao fazer a transição de HTTP para HTTPS; você está mudando para um novo site. Por exemplo, http://www.groovypost.com não seria o mesmo que https://www.groovypost.com . É importante garantir que você redirecionou seus links antigos e escreveu as regras adequadas sob o capô do seu servidor para evitar a perda de qualquer link precioso.
• Conteúdo misto pode gerar uma bandeira amarela . Para alguns navegadores, se você tiver a parte principal de uma página da Web carregada de HTTPS, mas imagens e outros elementos (como folhas de estilo ou scripts) carregados de uma URL HTTP, um pop-up poderá aparecer avisando que a página inclui conteúdo não seguro . É claro que ter algum conteúdo seguro é melhor do que nenhum, mesmo que este último não resulte em um pop-up. Mesmo assim, pode valer a pena garantir que você não tenha nenhum “conteúdo misto” em suas páginas.
• Às vezes, é mais fácil conseguir um processador de pagamentos terceirizado . Não há vergonha em permitir que o Google Checkout, Paypal ou Checkout da Amazon cuidem de seus pagamentos. Se tudo isso parecer demais para ser discutido, você pode permitir que seus clientes troquem informações de pagamento no site seguro do Paypal ou no site seguro do Google e evite problemas.

Você tem alguma outra dúvida ou comentário sobre certificados HTTPS e SSL/TLS? Deixe-me ouvir nos comentários.