Seu Guia Completo para SSL/TLS e HTTPS

Entre as ameaças crescentes de cibersegurança global e o endurecimento dos padrões de segurança do Google, é mais importante do que nunca que os proprietários de negócios tomem medidas ativas para proteger seus sites.

Caso contrário, você estará colocando tanto você quanto seus clientes em risco. Não é bom.

Mas há esperança! Você pode mostrar aos usuários que eles podem confiar em você oferecendo uma experiência segura e criptografada por meio de algo chamado Protocolo Seguro de Transferência de Hipertexto (HTTPS). Para usar HTTPS, você precisará adquirir um certificado de Camada de Sockets Seguros (SSL) ou Segurança da Camada de Transporte (TLS), que comprova que seu site é seguro. Falaremos mais sobre isso mais tarde.

Este post explicará o que são SSL/TLS e HTTPS e discutirá a importância de ter esses recursos em seu site. Em seguida, mostraremos como implementar um certificado SSL/TLS. Vamos começar!

Introdução ao SSL/TLS e HTTPS

SSL e TLS são certificados que você pode adicionar ao seu site. Eles criam conexões criptografadas entre navegadores e servidores web. Quando você visita um site que usa uma conexão certificada com SSL ou TLS, apenas esse site pode acessar os dados que você envia.

SSL é o predecessor do TLS, que agora é considerado desatualizado e inseguro. No entanto, a sigla ‘SSL’ é frequentemente usada de forma intercambiável quando se refere a qualquer tipo de certificado. Portanto, nos referiremos a eles como ‘SSL/TLS’.

Para configurar o SSL/TLS, você precisará instalar um certificado no seu site. Isso tranquilizará os usuários de que seu site é seguro. Na prática, seu site usará o protocolo HTTPS para estabelecer conexões. Você pode reconhecer isso como a versão segura do HTTP padrão.

Eis como o HTTPS Protege o Seu Site

1. Criptografia para impedir que os dados sejam interceptados durante o processo de troca.
2. Integridade de dados para que tentativas de adulteração dos dados sejam detectáveis.
3. Autenticação para prevenir ataques e construir confiança do usuário.

SSL/TLS permite que você entregue seu site usando HTTPS, o que garante uma conexão segura e privada entre seu site e seus usuários. Se a URL de um site usa http://, ela não está segura com SSL/TLS. No entanto, se usar https:// ela está segura — e você precisa de um certificado SSL/TLS para que isso aconteça.

No Google Chrome, você pode identificar sites que estão sendo servidos via HTTPS pelo ícone de cadeado na barra do navegador. Quando um visitante solicita a conexão com um site, a página envia o certificado SSL, que contém a chave pública necessária para proteger a sessão. Em seguida, o servidor e o navegador iniciam um processo conhecido como aperto de mão SSL/TLS. Em resumo, os computadores se comunicam entre si para estabelecer uma conexão segura.

Por que um Certificado SSL/TLS é Importante para o seu Site

Ter um certificado SSL/TLS (e, por consequência, oferecer uma conexão HTTPS) é crítico para a segurança do seu site. Ele garante que ninguém poderá interceptar ou acessar a transferência de dados entre o seu servidor e os navegadores dos seus visitantes (também conhecido como ataques man-in-the-middle).

Estes não são os únicos tipos de ataques. No início deste ano, foi encontrada uma vulnerabilidade no mitmproxy: um proxy HTTPS de código aberto que permitiria ataques de contrabando de solicitações HTTP.

Com tantas ameaças de segurança assolando a internet, usar o protocolo HTTPS é essencial. De fato, a partir de julho de 2018, o Google Chrome começou a listar sites que usam HTTP como “não seguros”:

Perder a confiança do Google pode impactar severamente suas classificações de pesquisa. Também pode fazer com que os visitantes desconfiem do seu site. Afinal, se o navegador deles os alertar que seu site pode ser perigoso, é mais provável que você veja uma perda de tráfego.

Google começou a modificar seu algoritmo em 2014 para favorecer sites que usam certificados SSL. Hoje, está dando ainda mais ênfase a eles, declarando que aqueles com certificados SSL terão um ranking superior aos que não têm, mesmo quando todos os outros fatores são os mesmos.

Outro motivo importante para instalar um certificado SSL/TLS é se você está em um setor que exige a conformidade com certos padrões. Por exemplo, na indústria financeira, é necessário atender a padrões de segurança no que diz respeito a informações de pagamento. A Payment Card Industry (PCI) estabelece diretrizes que os proprietários dos sites devem cumprir para aceitar informações de cartão de crédito com segurança em seus sites.

Como Saber se o Seu Site Está Usando SSL/TLS

É importante garantir que seu site esteja usando um certificado SSL ou TLS. Também é essencial monitorá-lo continuamente para garantir que não tenha expirado. Um relatório da Keyfactor descobriu que, nos últimos dois anos, 81% das empresas enfrentaram uma interrupção relacionada a certificados.

Se o seu certificado expirar inesperadamente, isso pode colocar seu site em risco. Interrupções podem levar horas para se recuperar, e um tempo de inatividade prolongado pode prejudicar seu negócio.

Verificar se você possui um certificado SSL/TLS válido é um processo muito simples. Para começar, abra seu site no Google Chrome (ou em qualquer outro navegador). Em seguida, verifique a barra de endereços no topo do seu navegador para ver se seu site usa http:// ou https://.

Você também pode ver um cadeado colorido ao lado do URL. Se a cor for vermelha, então seu site não usa SSL/TLS. No entanto, se o seu site estiver protegido com SSL/TLS, você pode ver um cadeado verde:

Entretanto, nem todos os sites certificados por SSL/TLS mostram este ícone. Sua presença depende do tipo de validação usado (mais sobre isso mais tarde). Por exemplo, alguns certificados SSL/TLS exibirão um ícone cinza simples em vez disso:

Isso significa que o site pode não estar seguro, mas o navegador não pode determinar com certeza de qualquer forma. Se seu site não parece estar protegido com SSL/TLS, você pode ainda ter um certificado. No entanto, ele provavelmente expirou, o que você pode verificar clicando no ícone de aviso ao lado do URL:

Aqui, você pode clicar no link do Certificado para ver mais informações. Por exemplo, podemos ver que este site possui um certificado SSL/TLS, mas ele expirou:

Finalmente, também é possível que você tenha um certificado SSL/TLS válido e atualizado, mas que seu site não use-o por padrão. Nesse caso, você precisará forçar seu site a redirecionar para HTTPS.

Diferentes Tipos de Certificados SSL

Se você descobriu que seu site não possui um certificado SSL/TLS, será necessário adquirir um. Antes disso, no entanto, você precisa saber que tipo de certificado está procurando.

Os certificados SSL/TLS existem em diversas formas, cada uma com seus prós e contras únicos. Para adquirir um, seu site precisará ser verificado por uma Autoridade Certificadora (CA). Dependendo do tipo de certificado SSL/TLS que você decidir comprar, seu site precisará ser verificado para diferentes informações.

Sua escolha de certificado depende em grande parte de suas necessidades e orçamento. Vamos analisar as diferentes categorias para ajudá-lo a encontrar a opção que melhor atende a você:

Validação de Domínio (DV)

Este tipo de certificado exige que você prove que tem o direito de usar um domínio específico. Isso o torna a opção menos segura. No entanto, também é o tipo de certificado SSL/TLS mais barato, e você pode até conseguir um gratuitamente. Você também pode obter a aprovação muito rapidamente — até mesmo em minutos. Isso é recomendado para sites menores que não lidam com dados sensíveis, como blogs ou portfólios.

Validação de Organização (OV)

Esta é uma opção mais segura, que exige uma verificação mais completa do seu site. A CA irá avaliar sua organização para garantir que você é legítimo e confiável. Como tal, isso também é um pouco mais caro e levará mais tempo para adquirir. No entanto, este tipo de certificado é recomendado para sites maiores que lidam com dados de usuários e compras.

Validação Estendida (EV)

Esta é a opção mais segura, mas também a mais cara e demorada. A aquisição de validação estendida requer um processo de verificação minucioso e geralmente é mais cara do que a opção anterior. Isso também significa que é a que mais demora para ser aprovada. Este tipo de certificado é voltado para sites muito grandes e de alto tráfego, como empresas de comércio eletrônico e sites oficiais do governo.

Como mencionamos anteriormente, o tipo de certificado SSL/TLS que você precisa depende inteiramente do propósito e dos requisitos do seu site. Recomendamos que você leia mais sobre os diferentes níveis de certificados para garantir que você está escolhendo a opção correta.

Onde Obter um Certificado SSL/TLS para o Seu Site

Neste ponto, você sabe que precisa de um certificado SSL/TLS. Além disso, você tem uma ideia do tipo de certificado que o seu site requer. Agora, você só precisa comprar um.

Você pode obter um certificado SSL/TLS de uma CA, como a GlobalSign. Além disso, alguns provedores de hospedagem os oferecem como extras gratuitos ou incluídos em seus planos pagos.

Na DreamHost, certificados SSL/TLS podem ser facilmente adicionados ao seu site a partir do seu painel de controle. Vamos dar uma olhada nas opções disponíveis:

SSL Verificado pela Sectigo

Este é um certificado DV (anteriormente conhecido como Comodo) que custa $15 por ano. Ele garantirá que seu site apareça nos navegadores como totalmente seguro. Isso o torna a melhor opção para sites comerciais ou sites que lidam com dados sensíveis.

Let’s Encrypt SSL/TLS

Este é mais um certificado DV gratuito, mas que é mais seguro que a opção anterior. O certificado Let’s Encrypt é quase tão seguro quanto o Sectigo. Como tal, é ideal para sites menores que não lidam com muitos dados pessoais, como blogs.

Se você já possui uma conta DreamHost, você pode adquirir um desses certificados navegando até Websites > Certificados Seguros no seu painel de controle. Aqui, você verá todos os seus domínios e as opções disponíveis de SSL/TLS:

Clique no botão Adicionar ao lado do seu nome de domínio. Isso o levará a uma tela onde você poderá escolher entre um Certificado SSL gratuito Let’s Encrypt ou um Certificado DV Sectigo pago.

Quando você decidir qual opção é melhor para o seu site, clique em Selecionar este Certificado:

Seu site DreamHost agora estará protegido por SSL/TLS. Por favor, aguarde 15 minutos para que as alterações sejam aplicadas ao servidor.

No entanto, você pode estar se perguntando: e se eu quiser usar um certificado SSL/TLS que já comprei em outro lugar? Na próxima seção, mostraremos como instalar um certificado que foi comprado de um terceiro.

Como Instalar um Certificado SSL/TLS no Seu Site WordPress (2 Opções)

Se você comprou um certificado SSL/TLS de uma CA externa, precisará conectá-lo ao seu site e instalá-lo. O processo pode variar dependendo do seu site, seu provedor de hospedagem e o tipo de certificado que você escolheu.

Entretanto, existem dois métodos básicos para instalar um certificado SSL/TLS: utilizando um plugin e seu painel de controle de hospedagem. Vamos examinar mais de perto cada método.

Opção 1: Instale o Plugin Really Simple SSL

Uma das maneiras mais fáceis de adicionar um certificado SSL/TLS ao seu site é usar um plugin. Really Simple SSL é uma ferramenta que faz jus ao seu nome:

A ferramenta é gratuita para baixar e instalar, embora uma versão premium esteja disponível. É também incrivelmente fácil de usar, com um processo de configuração simples e uma interface amigável.

O plugin realizará todo o processo de instalação e ativação para você. Tudo que você precisa é de um certificado SSL/TLS, e a ferramenta cuida praticamente de tudo o mais.

Comece por instalar e ativar o Really Simple SSL no seu site WordPress. Em seguida, uma mensagem aparecerá no seu painel com algumas informações adicionais sobre o que você precisa fazer antes de ativar o SSL/TLS. Certifique-se de completar todos esses passos antes de prosseguir:

Se o seu site já possui um certificado SSL/TLS conectado, você verá a opção Vá em frente, ative o SSL! Se você clicar nesse botão, o plugin instalará e ativará seu certificado.

Entretanto, se você não adicionou SSL/TLS por meio do seu hospedeiro web, você verá uma mensagem informando sobre esse fato. Você precisará retornar ao painel ou painel de controle do seu hospedeiro e seguir as orientações específicas para adicionar seu certificado.

Depois de fazer isso, você pode retornar ao seu Painel do WordPress e ativar seu certificado SSL/TLS:

Durante o processo de instalação, a ferramenta manterá você atualizado sobre o status. Você pode visualizar algumas tarefas que ainda pode precisar atender, bem como atualizar o processo a qualquer momento.

Opção 2: Utilize o Painel de Controle da DreamHost

Já mostramos como a DreamHost facilita a compra e ativação de um certificado SSL/TLS pelo seu painel de controle. Você pode usar um processo semelhante para adicionar um certificado de terceiros.

Primeiro, você precisará fazer login na sua conta e navegar até Websites > Certificados Seguros. Em seguida, selecione a aba Importar um Certificado. Nesta tela, você poderá instalar um certificado SSL/TLS de terceiros no seu site:

Você precisará adicionar o certificado SSL/TLS, juntamente com sua chave privada e a solicitação de assinatura de certificado. Se você tiver um certificado intermediário, também precisará adicionar essa informação aqui. É importante que todos venham do mesmo CA e tenham sido comprados simultaneamente, caso contrário, eles não serão compatíveis.

Além disso, você vai querer garantir que inclua tudo quando adicionar essas informações. Por exemplo, quando colar seu certificado, você também deve incluir as linhas —–BEGIN CERTIFICATE—– e —–END CERTIFICATE—– no início e no final, respectivamente.

Quando você tiver adicionado todos os detalhes necessários, clique em Salvar alterações. Se o certificado SSL/TLS for válido e você tiver inserido tudo corretamente, ele agora estará ativo em seu site.

Você pode testar para garantir que o processo funcionou corretamente usando o método que mostramos anteriormente. Basta acessar seu site em um navegador e garantir que ele usa https:// e possui um cadeado verde ao lado do URL (se aplicável). Se tiver, você adicionou SSL/TLS ao seu site WordPress com sucesso!

Existem Riscos em Mudar Seu Site para HTTPS?

Os riscos de mudar seu site de HTTP para HTTPS são mínimos, e os benefícios superam em muito quaisquer desvantagens potenciais. O único risco real é que seu site possa ficar temporariamente indisponível durante o processo. No entanto, isso geralmente é um problema menor que pode ser resolvido rapidamente.

Isso dito, há algumas coisas das quais você deve estar ciente ao migrar de HTTP para HTTPS. A melhor maneira de garantir uma transição segura e tranquila é planejar com antecedência.

Antes de iniciar o processo de migração, é importante garantir que o certificado SSL que você comprou funciona. Você pode fazer isso usando a ferramenta de teste SSL Labs:

Você também vai querer criar um plano detalhado de migração e redirecionamento. Um redirecionamento 301 deve ser colocado em cada URL HTTP apontando para o seu equivalente HTTPS.

Existem também alguns fatores de Otimização para Motores de Busca (SEO) a considerar. Você vai querer garantir que seu mapa do site XML está atualizado e inclui apenas seus URLs HTTPS. Também é importante atualizar todos os seus links internos, bem como quaisquer links externos que apontem para o seu site e que você tenha controle sobre eles.

Recomendamos também a ajuda de um desenvolvedor ou especialista em WordPress para auxiliar no processo de migração. Após a migração estar completa, verifique para garantir que sua versão HTTPS está conectada às suas contas de Google Analytics e Search Console.

O Futuro da Segurança de Sites

À medida que a internet continua a evoluir, também aumenta a necessidade de segurança de websites. No passado, as atualizações de segurança eram lançadas conforme a necessidade, geralmente em resposta a uma ameaça específica ou vulnerabilidade que havia sido descoberta.

Entretanto, o cenário atual de segurança de websites é muito diferente. Com o aumento de ataques sofisticados e novas ameaças surgindo todos os dias, os proprietários de sites não podem mais se dar ao luxo de esperar até que algo dê errado para tomar uma atitude.

Em vez disso, eles precisam ser proativos sobre a segurança do site e estar sempre em busca de novas maneiras de proteger seus ativos online. Isso significa manter-se atualizado sobre as últimas tendências de segurança e ficar atento a novas atualizações que possam ajudar a melhorar as defesas do seu site.

O futuro da segurança de websites está sempre evoluindo, e acompanhar as últimas tendências e tecnologias pode ser um desafio. Nos próximos anos, esperamos ver uma série de importantes atualizações de segurança que poderão ter um impacto significativo na forma como os proprietários de sites protegem seus sites. Vamos dar uma olhada em algumas tendências emergentes que acreditamos que desempenharão um papel no futuro da segurança de websites.

Mudança Padrão para HTTPS

Uma das maiores mudanças previstas para a segurança de sites é a mudança para HTTPS por padrão. Essa alteração está em desenvolvimento há vários anos, mas finalmente está começando a se tornar realidade.

O Google vem incentivando essa mudança desde 2014, e até começou a dar preferência a sites HTTPS em seus resultados de busca. Portanto, todos os sites devem fazer a mudança para HTTPS se quiserem se manter à frente da concorrência. Não só ajudará com SEO, mas também tornará seu site mais seguro para seus usuários.

Novos Recursos de Segurança de Nomes de Domínio

Para ajudar a proteger contra o sequestro de nomes de domínio, a Internet Corporation for Assigned Names and Numbers (ICANN) introduziu um novo conjunto de funcionalidades de segurança para todos os domínios registrados após 1 de janeiro de 2018. Essas funcionalidades incluem o Domain Lock, que impede mudanças não autorizadas nos registros de DNS, e o Registrar Lock, que impede a transferência não autorizada de um domínio para outro registrar.

Atualmente, essas medidas de segurança não são obrigatórias. No entanto, é provável que se tornem mais populares, pois podem ajudar muito na proteção do seu nome de domínio contra sequestros.

Outra grande mudança que chegará em 2022 é a introdução das Domain Name System Security Extensions (DNSSEC). Esse novo protocolo de segurança ajudará a proteger os servidores DNS de serem explorados e tornará mais difícil para os atacantes falsificar registros DNS.

O DNSSEC já está sendo utilizado por algumas das maiores empresas do mundo, incluindo Google, Facebook e Netflix. É apenas uma questão de tempo até que se torne um requisito para todos os sites.

Ataques Mais Sofisticados

À medida que os hackers se tornam mais astutos, podemos esperar ver ataques mais sofisticados. Isso poderia incluir desde ataques de phishing direcionados até ataques distribuídos de negação de serviço (DDoS) em larga escala. Os proprietários de sites precisam estar preparados para essas ameaças e ter um plano de recuperação estabelecido.

Regulação Aumentada

Com a introdução do Regulamento Geral sobre a Proteção de Dados (GDPR) e outras regulamentações de privacidade de dados, podemos esperar um aumento na fiscalização de como os proprietários de sites coletam e utilizam dados pessoais. Isso pode levar a requisitos mais rigorosos para os sites, assim como maiores penalidades para aqueles que não cumprirem as novas regulamentações.

Maior Consciência dos Riscos de Segurança

À medida que a segurança de sites se torna uma preocupação mais comum, podemos esperar ver mais pessoas tomando medidas para proteger suas informações online. Isso pode incluir desde usar senhas fortes até investir em produtos e serviços de segurança de sites. Ao manter-se atualizado sobre as últimas tendências de segurança de sites, você pode ajudar a manter seu site seguro contra ataques.

Proteja Seu Site WordPress

Manter seu site seguro é uma consideração sempre presente, e é igualmente importante garantir que seus usuários saibam que podem confiar em você. Ao adicionar um certificado SSL/TLS ao seu site e forçando conexões seguras através de HTTPS, você pode proteger a si mesmo e aos seus usuários, enquanto garante que todos saibam que seu site é seguro para usar.

Felizmente, existem vários tipos diferentes de certificados SSL/TLS disponíveis. Encontrar um certificado que corresponda às suas exigências não deve ser difícil uma vez que você sabe o que precisa. Você pode até mesmo ser capaz de obter um através do seu web host. Além disso, instalar um certificado SSL/TLS também é muito fácil, graças ao WordPress e à DreamHost.

Na DreamHost, nossos planos vêm com uma variedade de funcionalidades de Segurança Gerenciada. Confira hoje mesmo para saber mais sobre como a DreamHost pode otimizar a segurança do seu site!