Certificados HTTPS e SSL: Torne seu site seguro (e por que você deveria)

recurso de segurança de login

Independentemente do tipo de empresa ou serviço on-line em execução, você precisa garantir que os dados privados estejam protegidos com os certificados HTTPS e SSL. Aqui está o nosso guia completo.

Quando se trata de enviar informações pessoaispela Internet - sejam informações de contato, credenciais de login, informações de conta, informações de localização ou qualquer outra coisa que possa ser abusada - o público é, em geral, completamente paranóico sobre hackers e ladrões de identidade. E com razão. O medo de que suas informações possam ser roubadas, adulteradas ou inapropriadas está longe de ser irracional. As manchetes sobre vazamentos e violações de segurança nas últimas décadas provam isso. Apesar desse medo, as pessoas continuam se conectando para realizar transações bancárias, compras, registro em diário, namoro, socialização e outros negócios pessoais e profissionais na web. E há uma pequena coisa que lhes dá confiança para fazer isso. Vou mostrar para você:

imagem

Embora nem todos entendam como isso funciona,esse pequeno cadeado na barra de endereço indica aos usuários da web que eles têm uma conexão confiável com um site legítimo. Se os visitantes não virem isso na barra de endereços quando acessam seu site, você não deve - e não deve - conseguir os negócios deles.

Para obter esse pequeno cadeado da barra de endereço do seu site, você precisa de um certificado SSL. Como você consegue um? Leia mais para descobrir.

Esboço do artigo:

  • O que é SSL / TLS?
  • Como usar o HTTPS?
  • O que é um certificado SSL e como faço para obter um?
  • Guia de compra de certificados SSL
    • Autoridade de Certificação
    • Validação de Domínio vs. Validação Estendida
    • SSL compartilhado vs. SSL privado
    • Selos de Confiança
    • Certificados SSL curinga
    • Garantias
    • Certificados SSL gratuitos e Certificados SSL autoassinados
  • Instalando um certificado SSL
  • Prós e contras de HTTPS

O que é SSL / TLS?

Na web, os dados são transferidos usando o Hypertext Transfer Protocol. É por isso que todos os URLs de páginas da web têm "http: //" ou "https: // ”na frente deles.

Qual a diferença entre http e https? Esse pequeno S extra tem grandes implicações: Segurança.

Deixe-me explicar.

HTTP é a "linguagem" que o seu computador e oservidor usar para conversar entre si. Essa linguagem é universalmente entendida, o que é conveniente, mas também tem suas desvantagens. Quando os dados são transmitidos entre você e um servidor pela Internet, eles fazem algumas paradas ao longo do caminho antes de chegar ao seu destino final. Isso representa três grandes riscos:

  • Que alguém possa bisbilhotar na sua conversa (como uma escuta digital).
  • Que alguém possa personificar uma (ou ambas) das partes em cada extremidade.
  • Que alguém possa violar com as mensagens sendo transferidas.

Hackers e idiotas usam uma combinação dos itens acimapara vários golpes e assaltos, incluindo truques de phishing, ataques man-in-the-middle e boa publicidade antiquada. Ataques maliciosos podem ser tão simples quanto farejar credenciais do Facebook interceptando cookies não criptografados (espionagem), ou podem ser mais sofisticados. Por exemplo, você pode pensar que estava dizendo ao seu banco: "Transfira US $ 100 para meu ISP", mas alguém no meio poderá alterar a mensagem para ler: "Transfira $ 100 todo o meu dinheiro para meu ISP Peggy na Sibéria”(Adulteração e representação de dados).

Então, esses são os problemas com o HTTP. Para resolver esses problemas, o HTTP pode ser colocado em camadas com um protocolo de segurança, resultando em HTTP Seguro (HTTPS). Geralmente, o S em HTTPS é fornecido pelo protocolo SSL (Secure Sockets Layer) ou pelo protocolo TLS (Transport Layer Security) mais recente. Quando implantado, o HTTPS oferece bidirecional criptografia (para evitar escutas), servidor autenticação (para evitar a representação) e autenticação de mensagem (para impedir a violação de dados).

Como usar HTTPS

Como um idioma falado, o HTTPS só funciona se ambosas partes escolhem falar. No lado do cliente, a opção de usar HTTPS pode ser feita digitando "https" na barra de endereços do navegador antes do URL (por exemplo, em vez de digitar http://www.facebook.com, digite https: // www. facebook.com) ou instalando uma extensão que força automaticamente o HTTPS, como o HTTPS Everywhere para Firefox e Chrome. Quando o navegador da web estiver usando HTTPS, você verá um ícone de cadeado, barra verde do navegador, polegares para cima ou algum outro sinal tranquilizador de que sua conexão com o servidor é segura.

cadeado HTTPS cromado

cadeado HTTPS para safari

cadeado HTTPS do Internet Explorer

cadeado https do firefox

No entanto, para usar HTTPS, o servidor da web deveapoie isso. Se você é um webmaster e deseja oferecer HTTPS aos visitantes da web, precisará de um certificado SSL ou TLS. Como você obtém um certificado SSL ou TLS? Continue lendo.

Leitura adicional: alguns aplicativos populares da Web permitem escolher HTTPS nas configurações do usuário. Leia nossos artigos no Facebook, Gmail e Twitter.

O que é um certificado SSL e como faço para obter um?

Para usar HTTPS, seu servidor web deve terum certificado SSL ou TLS instalado. Um certificado SSL / TLS é como a identificação com foto do seu site. Quando um navegador que usa HTTPS acessa sua página da web, ele executa um "handshake", durante o qual o computador cliente solicita o certificado SSL. O certificado SSL é então validado por uma autoridade de certificação confiável (CA), que verifica se o servidor é quem diz ser. Se tudo der certo, seu visitante da Web recebe a marca de verificação verde tranquilizadora ou o ícone de cadeado. Se algo der errado, eles receberão um aviso do navegador da Web, informando que a identidade do servidor não pôde ser confirmada.

Erro de certificado HTTPS

Comprando um certificado SSL

Quando se trata de instalar um certificado SSL em seu site, há uma infinidade de parâmetros para você decidir. Vamos analisar o mais importante:

Autoridade de Certificação

A autoridade de certificação (CA) é a empresaque emite seu certificado SSL e é aquele que validará seu certificado sempre que um visitante acessar seu site. Embora cada provedor de certificado SSL concorra com preços e recursos, a primeira coisa a considerar ao examinar as autoridades de certificação é se eles possuem ou não certificados pré-instalados nos navegadores da web mais populares. Se a autoridade de certificação que emite seu certificado SSL não estiver nessa lista, o usuário receberá um aviso de que o certificado de segurança do site não é confiável. Obviamente, isso não significa que seu site seja ilegítimo - apenas significa que sua autoridade de certificação ainda não está na lista. Isso é um problema porque a maioria dos usuários não se incomoda em ler o aviso ou pesquisar a CA não reconhecida. Eles provavelmente apenas clicam a distância.

Felizmente, a lista de CAs pré-instaladas noprincipais navegadores é bastante considerável. Inclui alguns grandes nomes de marcas, bem como autoridades de certificação menos conhecidas e mais acessíveis. Os nomes das famílias incluem Verisign, Go Daddy, Comodo, Thawte, Geotrust e Entrust.

Você também pode procurar nas configurações do seu navegador para ver quais autoridades de certificação vêm pré-instaladas.

  • No Chrome, vá para Configurações -> Mostrar configurações avançadas ... -> Gerenciar certificados.
  • Para o Firefox, selecione Opções -> Avançado -> Exibir certificados.
  • Para o IE, Opções da Internet -> Conteúdo -> Certificados.
  • Para o Safari, entre no Finder e escolha Ir -> Utilitários -> Acesso ao KeyChain e clique em Sistema.

Para referência rápida, confira este tópico, que lista os certificados SSL aceitáveis ​​para o Google Checkout.

Validação de Domínio vs. Validação Estendida

Tempo típico de emissãoCustoBarra de endereço
Validação de Domínio
Quase instantaneamenteBaixoHTTPS normal (ícone de cadeado)
Validação da organizaçãoAlguns diasMeadosHTTPS normal (ícone de cadeado)
Validação estendidaUma semana ou maisAltoBarra de endereço verde, informações de verificação de identificação da empresa

</strong></p>

Um certificado SSL destina-se a provar a identidadedo site para o qual você está enviando informações. Para garantir que as pessoas não estejam usando certificados SSL falsos para domínios que não controlam por direito, uma autoridade de certificação confirmará que a pessoa que solicita o certificado é realmente o proprietário do nome de domínio. Normalmente, isso é feito por meio de uma rápida validação de e-mail ou telefonema, semelhante a quando um site envia um e-mail com um link de confirmação da conta. Isso é chamado de domínio validado Certificado SSL. O benefício disso é que ele permite que os certificados SSL sejam emitidos quase que imediatamente. Você provavelmente poderia obter um certificado SSL validado por domínio em menos tempo do que o necessário para ler esta postagem do blog. Com um certificado SSL validado por domínio, você obtém o cadeado e a capacidade de criptografar o tráfego do seu site.

As vantagens de um SSL validado por domíniocertificado é que eles são rápidos, fáceis e baratos de obter. Essa também é sua desvantagem. Como você pode imaginar, é mais fácil enganar um sistema automatizado do que um sistema executado por seres humanos vivos. É como se algum garoto do ensino médio entrasse no departamento de trânsito dizendo que era Barack Obama e queria obter uma identificação emitida pelo governo. a pessoa na mesa olhava para ele e ligava para os federais (ou o lixo maluco). Mas se fosse um robô trabalhando em um quiosque de identificação com foto, ele poderia ter alguma sorte. De maneira semelhante, os phishers podem obter "identificações falsas" para sites como Paypal, Amazon ou Facebook enganando os sistemas de validação de domínio. Em 2009, Dan Kaminsky publicou um exemplo de uma maneira de enganar as CAs para obter certificados que faria um site de phishing parecer uma conexão segura e legítima. Para um humano, esse golpe seria fácil de detectar. Mas a validação automatizada de domínio na época não possuía as verificações necessárias para evitar algo assim.

Em resposta às vulnerabilidades dos certificados SSL e SSL validados pelo domínio, o setor introduziu o Validação estendida certificado. Para obter um certificado SSL EV, sua empresa ou organização precisa ser submetida a uma verificação rigorosa para garantir que está em conformidade com o seu governo e controla corretamente o domínio para o qual está se candidatando. Essas verificações, entre outras, exigem um elemento humano e, portanto, levam mais tempo e são mais caras.

Em algumas indústrias, é necessário um certificado EV. Mas para outros, o benefício chega apenas ao que seus visitantes reconhecerão. Para os visitantes da web todos os dias, a diferença é sutil. Além do ícone de cadeado, a barra de endereço fica verde e exibe o nome da sua empresa. Se você clicar para obter mais informações, verá que a identidade da empresa foi verificada, não apenas o site.

Aqui está um exemplo de um site HTTPS normal:

HTTPS normal (validação da organização de validação de domínio)

E aqui está um exemplo de um site HTTPS com certificado EV:

validação estendida HTTPS

Dependendo do seu setor, um certificado EVpode não valer a pena. Além disso, você deve ser um negócio ou organização para obter um. Embora as grandes empresas estejam tendendo à certificação EV, você notará que a maioria dos sites HTTPS ainda ostenta o sabor não EV. Se for bom o suficiente para o Google, Facebook e Dropbox, talvez seja bom o suficiente para você.

validação de domínio vs. validação de organização vs. validação estendida

Mais uma coisa: existe uma opção no meio da estrada chamada organização validada ou negócio validado certificação. Essa é uma avaliação mais completa do que a validação de domínio automatizada, mas não chega ao cumprimento das regulamentações do setor para um certificado de Validação Estendida (observe como a Validação Estendida está em maiúscula e a "validação organizacional" não é?). Uma certificação validada por OV ou comercial custa mais e leva mais tempo, mas não fornece a barra de endereço verde e as informações verificadas da identidade da empresa. Francamente, não consigo encontrar um motivo para pagar por um certificado OV. Se você pode pensar em um, por favor me esclareça nos comentários.

SSL compartilhado vs. SSL privado

Alguns hosts da web oferecem um serviço SSL compartilhado, quegeralmente é mais acessível que um SSL privado. Além do preço, o benefício de um SSL compartilhado é que você não precisa obter um endereço IP privado ou host dedicado. A desvantagem é que você não pode usar seu próprio nome de domínio. Em vez disso, a parte segura do seu site será algo como:

https://www.hostgator.com/~yourdomain/secure.php

Compare isso com um endereço SSL privado:

https://www.yourdomain.com/secure.php

Para sites públicos, como sites de comércio eletrônicoe sites de redes sociais, isso é obviamente uma chatice, pois parece que você foi redirecionado do site principal. Mas para áreas que geralmente não são vistas pelo público em geral, como as entranhas de um sistema de correio ou uma área de administrador, um SSL compartilhado pode ser um bom negócio.

Selos de Confiança

Muitas autoridades de certificação permitem colocar umselo de confiança em sua página da web depois de se inscrever em um de seus certificados. Isso fornece praticamente as mesmas informações que clicar no cadeado na janela do navegador, mas com maior visibilidade. A inclusão de um selo de confiança não é necessária, nem amplifica sua segurança, mas se oferece a seus visitantes a atenção de quem emitiu o certificado SSL, por todos os meios, jogue-o lá.

selo de confiança da verisign

Certificados SSL curinga

Um certificado SSL verifica a identidade de umdomínio. Portanto, se você quiser ter HTTPS em vários subdomínios - por exemplo, groovypost.com, mail.groovypost.com e answers.groovypost.com -, precisará comprar três certificados SSL diferentes. Em um determinado momento, um certificado SSL curinga se torna mais econômico. Ou seja, um certificado para cobrir um domínio e todos os subdomínios, ou seja, * .groovypost.com.

Garantias

Não importa quanto tempo a empresa seja boareputação é, existem vulnerabilidades. Até as CAs confiáveis ​​podem ser alvo de hackers, como evidenciado pela violação na VeriSign que não foi relatada em 2010. Além disso, o status de uma CA na lista confiável pode ser rapidamente revogado, como vimos no DigiNotar snafu em 2011. Acontece uma coisa .

Para amenizar qualquer desconforto sobre o potencial deComo esses atos aleatórios de deboche SSL, muitas autoridades de certificação oferecem agora garantias. A cobertura varia de alguns milhares de dólares a mais de um milhão de dólares e inclui perdas resultantes do uso indevido do seu certificado ou de outros contratempos. Não tenho idéia se essas garantias realmente agregam valor ou não, ou se alguém já ganhou uma reivindicação com sucesso. Mas eles estão lá para sua consideração.

Certificados SSL gratuitos e Certificados SSL autoassinados

Existem dois tipos de certificados SSL gratuitosacessível. Um autoassinado, usado principalmente para testes particulares e Certos SSL voltados para o público, emitidos por uma Autoridade Certificat válida. A boa notícia é que, em 2018, existem algumas opções para obter certificados SSL 100% gratuitos e válidos por 90 dias a partir do SSL for Free ou do Let's Encrypt. O SSL for Free é principalmente uma GUI da API Let Criptografar. A vantagem do site SSL for Free é simples de usar, pois possui uma boa interface gráfica. Vamos criptografar, no entanto, é bom, pois você pode automatizar totalmente a solicitação de certificados SSL deles. Ideal se você precisar de certificados SSL para vários sites / servidores.

Um certificado SSL autoassinado é gratuito para sempre. Com um certificado autoassinado, você é sua própria CA. No entanto, como você não está entre as CAs confiáveis ​​incorporadas nos navegadores da Web, os visitantes receberão um aviso de que a autoridade não é reconhecida pelo sistema operacional. Como tal, não há realmente nenhuma garantia de que você é quem diz ser (é como emitir um documento de identidade com foto e tentar passá-lo na loja de bebidas). O benefício de um certificado SSL autoassinado, no entanto, é que ele habilita a criptografia para o tráfego da Web. Pode ser bom para uso interno, onde você pode solicitar que sua equipe inclua sua organização como uma CA confiável para se livrar da mensagem de aviso e trabalhar em uma conexão segura pela Internet.

Para obter instruções sobre como configurar um certificado SSL autoassinado, consulte a documentação do OpenSSL. (Ou, se houver demanda suficiente, escreverei um tutorial.)

Instalando um certificado SSL

Depois de adquirir seu certificado SSL, vocêprecisa instalá-lo em seu site. Um bom host oferecerá isso para você. Alguns podem até comprá-lo para você. Muitas vezes, esse é o melhor caminho a seguir, pois simplifica o faturamento e garante que ele seja configurado corretamente para o servidor da web.

Ainda assim, você sempre tem a opção de instalar umCertificado SSL que você comprou por conta própria. Se você fizer isso, pode começar consultando a base de conhecimento do seu host ou abrindo um ticket para o suporte técnico. Eles direcionam você para as melhores instruções para instalar seu certificado SSL. Você também deve consultar as instruções fornecidas pela CA. Isso lhe dará uma orientação melhor do que qualquer conselho genérico que eu possa lhe dar aqui.

Você também pode querer verificar as seguintes instruções para instalar um certificado SSL:

  • Instale um certificado SSL e configure o domínio no cPanel
  • Como implementar o SSL no IIS (Windows Server)
  • Criptografia SSL / TLS Apache

Todas essas instruções envolverão ocriação de uma solicitação de assinatura de certificado SSL (CSR). Na verdade, você precisará de um CSR apenas para obter um certificado SSL emitido. Novamente, seu host pode ajudá-lo com isso. Para informações DIY específicas sobre como criar um CSR, consulte este artigo no DigiCert.

Prós e contras do HTTPS

Já estabelecemos firmemente os profissionais deHTTPS: segurança, segurança. Isso não apenas reduz o risco de uma violação de dados, como também gera confiança e agrega reputação ao seu site. Os clientes mais experientes podem nem se incomodar em se inscrever, se virem um "http: //" na página de login.

No entanto, existem alguns contras no HTTPS. Dada a necessidade de HTTPS para certos tipos de sites, faz mais sentido pensar neles como "contrasiderações ”ao invés de negativos.

  • HTTPS custa dinheiro. Para iniciantes, há o custo de compra erenovando seu certificado SSL para garantir a validade ano a ano. Mas também existem certos “requisitos de sistema” para HTTPS, como um endereço IP dedicado ou um plano de hospedagem dedicado, que podem ser mais caros do que um pacote de hospedagem compartilhada.
  • HTTPS pode diminuir a resposta do servidor. Há dois problemas relacionados ao SSL / TLS quepode diminuir a velocidade de carregamento da página. Primeiro, para começar a se comunicar com seu site pela primeira vez, o navegador do usuário deve passar pelo processo de handshake, que retorna ao site da autoridade de certificação para verificar o certificado. Se o servidor da web da CA estiver lento, haverá um atraso no carregamento da sua página. Isso está muito além do seu controle. Em segundo lugar, o HTTPS usa criptografia, o que requer mais poder de processamento. Isso pode ser resolvido otimizando seu conteúdo para largura de banda e atualizando o hardware do seu servidor. O CloudFare tem uma boa publicação no blog sobre como e por que o SSL pode desacelerar seu site.
  • HTTPS pode afetar os esforços de SEO Quando você faz a transição de HTTP para HTTPS; tu esmudar para um novo site. Por exemplo, https://www.groovypost.com não seria o mesmo que http://www.groovypost.com. É importante garantir que você redirecionou seus links antigos e escreveu as regras apropriadas sob o capô do servidor para evitar a perda de qualquer suco de link precioso.
  • Conteúdo misto pode lançar uma bandeira amarela. Para alguns navegadores, se você possui a parte principal douma página da web carregada a partir de HTTPS, mas imagens e outros elementos (como folhas de estilo ou scripts) carregados de um URL HTTP; um pop-up pode aparecer avisando que a página inclui conteúdo não seguro. É claro, ter alguns conteúdo seguro é melhor do que não ter nenhum, mesmo que o último não resulte em um pop-up. Ainda assim, pode valer a pena garantir que você não tenha nenhum "conteúdo misto" em suas páginas.
  • Às vezes, é mais fácil obter um processador de pagamento de terceiros. Não há vergonha em deixar o Google Checkout,Paypal ou Checkout by Amazon processam seus pagamentos. Se todas as opções acima parecerem muito complicadas, você pode permitir que seus clientes troquem informações de pagamento no site seguro do Paypal ou no site seguro do Google e evite os problemas.

Você tem outras perguntas ou comentários sobre certificados HTTPS e SSL / TLS? Deixe-me ouvir nos comentários.

0

Artigos semelhantes

A Cyber ​​Street ajuda você a manter seu computador doméstico ou comercial seguro
Rever

A Cyber ​​Street ajuda você a manter sua casa ou empresa ..

Gmail movendo todo o acesso ao HTTPS [groovyNews]
Notícia

Gmail movendo todo o acesso ao HTTPS [groovyNews] ..

Como criar um PIN da loja segura do canal Roku
Como

Como criar um PIN seguro da loja de canais Roku.

Como criar uma senha forte, você pode se lembrar
Como

Como criar uma senha forte, você pode se lembrar ..

Alerta de segurança: DigiNotar emite certificado fraudulento do Google.com.br - instruções sobre como se proteger
Como

Alerta de segurança: DigiNotar lança Google.com fraudulento ..

Como criptografar arquivos e pastas individuais no Windows 10
Como

Como criptografar arquivos e pastas individuais no Windows

Como gerenciar senhas com o Edge Browser no Windows 10
Como

Como gerenciar senhas com o Edge Browser no Windows 10 ..

Faça seu site fazer o Harlem Shake
Como

Faça seu site fazer o Harlem Shake ..

Não seja um Weiner - proteja sua conta do Twitter!
Como

Não seja um Weiner - proteja seu Twitter ..

Como fazer backup do seu certificado de chave privada EFS
Como

Como fazer backup do seu certificado de chave privada EFS ..

Deixe um comentário