Certificado SSL – todas as coisas importantes que precisa de saber
O QUE É UM CERTIFICADO SSL?
SSL estabelece uma ligação encriptada entre o seu servidor web e o browser do visitante do seu site, permitindo a transmissão segura de informações pessoais, impedindo que os hackers as intercetam, alterem ou substituam.
PORQUE PRECISO DE UM CERTIFICADO SSL?
SSL assegura as suas ligações à Internet e impede os criminosos de ler ou alterar a informação que é transmitida entre os dois sistemas. Se um website lhe pedir para introduzir dados pessoais para iniciar sessão, tais como números de cartão de crédito ou para ver informações sensíveis, tais como detalhes de seguros de saúde ou informações financeiras, é importante manter estas informações confidenciais. Um certificado SSL ajuda a manter as comunicações online privadas e assegura aos utilizadores que um website é digno de confiança e seguro para introduzir e armazenar informação pessoal.
Qual é a diferença entre HTTP e HTTPS?
HTTP é o Protocolo de Transferência de Hipertexto, que significa Hyper Text Transfer Protocol (Protocolo de Transferência de Hipertexto). O HTTP fornece um conjunto de regras e normas que regem a forma como qualquer informação é transmitida na WWW (World Wide Web). O HTTP fornece regras padrão para interação entre navegadores e servidores. Normalmente este protocolo utiliza a porta 80.
HTTP utiliza hipertexto estruturado, que estabelece uma ligação lógica entre conexões que contêm texto. É também conhecido como um “protocolo sem estado” porque cada comando é executado separadamente, sem utilizar uma referência ao comando de arranque anterior.
HTTPS é o Protocolo de Transferência de Hipertexto Seguro. É uma versão segura e fiável do HTTP. Este protocolo permite uma transmissão segura através da encriptação de todo o tráfego com SSL. É uma combinação de SSL/TLS e HTTP, e fornece uma identificação encriptada e segura do servidor de rede.
HTTPS também permite uma ligação segura e encriptada entre o servidor e o navegador. Proporcionando segurança de dados de duas maneiras. Ajuda a proteger a informação sensível dos criminosos. Mais relevante para as empresas é o facto de serem necessários certificados SSL para os domínios web HTTPS. HTTPS é uma forma segura de HTTP, ou seja, o tráfego de sites HTTPS é encriptado com SSL.
A maioria dos browsers designa os sítios HTTP que não têm um certificado SSL como não confiáveis. Este sinal ajuda os utilizadores a proteger os seus dados pessoais e avisa-os de que o website em questão não é seguro. Para as empresas, esta designação de domínio HTTP é indesejável e é o ímpeto para mudar para HTTPS.
Um certificado SSL ajuda a proteger informação como, por exemplo:
–Credenciais de início de sessão.
–Transações com cartão de crédito e informações sobre contas bancárias. Informação pessoal: nome completo, morada, data de nascimento, número de telefone.
–Documentos legais e contratos.
–Registos médicos.
–Informação confidencial.
As informações pessoais e detalhes de pagamento só podem ser introduzidas em sítios web protegidos por certificados de validação alargados ou por certificados que confirmem a organização em questão.
Como posso saber se um sítio web tem um certificado SSL instalado?
Se vir um pequeno símbolo de cadeado fechado em frente à barra de endereços, pode clicar nele para ver os detalhes de segurança. Isto indica segurança e dá garantias aos visitantes do sítio web. Se um website não tiver um certificado SSL instalado, o website não é exibido no browser e em vez do website, recebe uma mensagem de aviso de que a ligação não é segura, tal como o cadeado vermelho, o cadeado aberto, uma linha através do endereço do website, o triângulo de aviso sobre o ícone do cadeado. Para sítios sem certificado SSL, a abreviatura HTTP é exibida, sem o S,Secure.
Os certificados validados por domínio não são adequados para sites de comércio eletrônico. Os websites protegidos por certificados de validação alargados ou certificados de validação da organização podem ser identificados consultando a barra de endereços. Para sites protegidos por certificados de validação alargados, o nome da organização é afixado na barra de endereços.
Para sites protegidos por certificados que confirmam a organização, o nome da organização é exibido clicando no ícone do cadeado. Para sites com certificados de validação de domínio, apenas é exibido o ícone de bloqueio. Familiarize-se com a política de privacidade do website. Isto permitirá-lhe compreender como a sua informação pessoal será utilizada, para que fim e por quanto tempo. As empresas legítimas são geralmente transparentes quanto à recolha e tratamento dos seus dados pessoais.
COMO FUNCIONA UM CERTIFICADO SSL?
A utilização de um certificado SSL assegura que os dados transmitidos entre utilizadores e um website, ou entre um servidor e um browser, não possam ser lidos por pessoas ou robôs não autorizados. O certificado SSL utiliza algoritmos para encriptar os dados transmitidos, o que impede que os criminosos os leiam quando são transmitidos através de uma ligação encriptada. Estes dados podem incluir informações pessoais sensíveis tais como nome, morada, números de cartão de crédito e outros dados pessoais.
O processo é o seguinte:
1. Por exemplo, o navegador faz um pedido para se ligar a um website que é protegido por um certificado SSL.
2. O navegador solicita a identificação a partir do sítio web.
3. O website responde enviando ao navegador uma cópia do seu certificado SSL.
4. O navegador verifica então que este certificado SSL é de confiança.
5. Se for, informará o website.
6. O website retorna então um reconhecimento assinado digitalmente e começa a transmitir dados encriptados utilizando SSL.
7. Os dados encriptados são partilhados entre o navegador e o sítio web.
Este processo é também chamado de verificação de ligação SSL. Embora este processo pareça muito longo na descrição, na realidade leva alguns milissegundos.
EM QUE CONSISTE UM CERTIFICADO SSL?
1. Nome do nome de domínio, para o qual é emitido o certificado.
2. А pessoa, organização ou dispositivo para o qual o certificado é emitido.
3. A autoridade certificadora que emitiu o certificado.
4. A assinatura digital da autoridade certificadora.
5. Subdomínios ligados.
6. Data de emissão do certificado.
7. Período de validade do certificado.
8. Chave pública (a chave privada não é revelada).
TIPOS DE CERTIFICADOS SSL
Existem diferentes tipos de certificados SSL com diferentes níveis de validação.
Certificado SSL de Validação Alargada (VA SSL)
Este é o tipo de certificado SSL mais seguro e mais caro. É tipicamente utilizado para websites populares que recolhem dados e utilizam pagamentos em linha. Para criar um certificado de Validação Alargada, o proprietário do website deve passar pelo processo de autenticação padrão e confirmar que legalmente tem direitos exclusivos sobre o seu domínio.
Quando este certificado SSL é instalado, a barra de endereço do navegador mostra o cadeado, HTTPS, nome da empresa e país. A exibição de informações sobre o proprietário do site na barra de endereços ajuda a distinguir o site de outros sites que não inspiram confiança.
Certificados SSL que confirmam a organização (EV SSL)
Este tipo de certificado SSL tem o mesmo nível de confiança que um certificado SSL de Validação Estendida, uma vez que o proprietário do website deve passar por um processo de validação minucioso para obter um. Para este tipo de certificado, a informação sobre o proprietário do website é também apresentada na barra de endereços, tornando possível distingui-lo de websites maliciosos.
O seu principal objetivo é encriptar os dados sensíveis dos utilizadores ao ligar e transmitir dados. Os websites comerciais ou públicos devem instalar certificados que confirmem a organização, a fim de garantir a confidencialidade das informações dos clientes.
Certificados SSL de validação de domínio (DV SSL)
O processo de verificação para este tipo de certificado SSL é mínimo. Como resultado, os certificados SSL validados por domínio oferecem menos segurança e encriptação mínima. Estes certificados são tipicamente utilizados para blogs ou websites informativos, para sites não relacionados com a recolha de dados ou pagamentos em linha.
Este tipo de certificado SSL é um dos mais fáceis e rápidos de obter. O processo de verificação requer apenas que o proprietário do website confirme a propriedade do domínio, respondendo a um e-mail. Na barra de endereço do navegador apenas HTTPS e um cadeado sem o nome da empresa é exibido.
Certificados SSL – Wildcard
Os certificados Wildcard permitem-lhe assegurar um domínio de base e um número ilimitado de subdomínios com o mesmo certificado. Os certificados wildcard contém um asterisco (*) como parte do domínio geral. Um asterisco substitui qualquer nome no lugar de qualquer subdomínio válido no mesmo domínio de base.
Por exemplo, um certificado Wildcard para um website pode ser utilizado para proteger todos os seus subdomínios. Se há vários subdomínios que precisam de ser protegidos, comprar um certificado Wildcard será muito mais rentável do que comprar certificados SSL separados para cada subdomínio.
Certificados multi-domínios (SAN)
Um certificado SSL multi-domínio difere de um certificado SSL de domínio único, que, como o nome implica, se destina a proteger apenas um domínio. Os certificados SSL multi-domínio são também chamados certificados SAN. SAN significa Subject Alternative Name (Nome Alternativo do Assunto).
Cada certificado multi-domínio tem campos adicionais (por exemplo, nomes de assunto alternativos) que podem ser utilizados para listar domínios adicionais para que um certificado se aplique a eles. Os Certificados de Comunicações Unificadas (UCC) e os Certificados Wildcard também podem ser aplicados a múltiplos domínios e a um número ilimitado de subdomínios. Por defeito, os certificados multi-domínios não suportam subdomínios.
Certificados de Comunicações Unificadas (UCC)
Os Certificados de Comunicações Unificadas (UCC) são também considerados certificados SSL multi-domínios. Os certificados de Unified Communications foram originalmente concebidos para proteger os servidores Microsoft Exchange e Live Communications.
Hoje em dia, qualquer proprietário de website pode utilizar estes certificados para assegurar vários nomes de domínio com um único certificado. Os certificados de Comunicações Unificadas são validados a nível da empresa. Os certificados de Comunicações Unificadas podem ser utilizados como certificados de validação alargados para proporcionar aos visitantes do website a máxima segurança.
COMO UM CERTIFICADO SSL AFETA O SEO E OS MOTORES DE PESQUISA
Durante cerca de oito anos, uma ligação segura HTTPS começou a influenciar a posição de um website no Google e outros motores de busca. Assim, compreendemos que os websites com certificados SSL instalados têm uma clara vantagem em gerar resultados de pesquisa orgânica. O próprio fabricante do certificado não desempenha qualquer papel, mesmo que tenha instalado um certificado gratuito, o Google irá repará-lo e tê-lo em conta.
*SEO significa Search Engine Optimization (otimização para mecanismos de busca)
É importante compreender o impacto do certificado SSL no SEO, e os benefícios de mudar para HTTPS. Com a mudança, pode também haver alguns problemas e complicações, mas mesmo com estas complicações, pode melhorar a sua posição em motores de busca como o Google.
Mudar para HTTPS não o ajudará a ter o seu site na primeira linha no Google. Mas, em combinação com outros fatores, o certificado SSL pode afetar a sua posição nos motores de busca. Se os dois sites tiverem pontuações iguais noutros fatores de classificação, então a mudança para HTTPS pode ajudar a subir nos resultados orgânicos. Esta grande concorrência só ocorre na página principal do Google.
Se estiver apenas interessado em SEO, não mude para HTTPS apenas para SEO. O efeito do certificado SSL na promoção do site é negligenciável. Os programadores do Google fizeram especificamente da ligação HTTPS um fator de classificação para encorajar as pessoas a proteger os seus sites.
Preparar para mudar para HTTPS. Antes de instalar um certificado, leia as recomendações do Google. Aproveite-os para não perder tráfego uma vez instalados.
A forma correta de converter o seu site em HTTPS
Não basta apenas instalar um certificado SSL e esperar que o site suba até ao topo dos resultados. A abordagem pode até causar a deterioração da posição do site: o site utilizará HTTP e HTTPS, e os motores de busca pensarão que estes são dois sites com o mesmo conteúdo. Para ajudar os proprietários de websites a evitar a perda de tráfego, o Google tem diretrizes para mudar para HTTPS.
Familiarize-se com eles antes de instalar um certificado. Aqui estão as recomendações básicas:
1. Instalar certificados SSL com criptografia forte. O nível de encriptação depende do comprimento da chave privada.
2. Utilizar um redirecionamento 301. Existem dois tipos principais de redirecionamento: 301 e 302. O 301 redireciona o tráfego para a página de destino e um 302 guarda-o para a página atual. Portanto, definir um 301 redirecionar de páginas que funcionam sobre HTTP para páginas que funcionam sobre HTTPS.
3. Não utilizar a meta tag noindex. Os motores de busca não verão e não podem indexer páginas com tal etiqueta.
4. Não impedir os motores de busca de indexar páginas. Para tal, escreva dois comandos nos ficheiros para http://oseudomínio.pt/robots.txt e https://oseudomínio.pt/robots.txt:
– Anfitrião: https://oseudomínio.pt
– Mapa do sítio: https://oseudomínio.pt/sitemap.xml
5. Utilizar a tecnologia HSTS. Esta tecnologia obriga o navegador a solicitar páginas através de HTTPS mesmo que o utilizador introduza um endereço de website com HTTP.
Após a instalação do certificado, readmitir o endereço do sítio web ao Google Webmaster Tools. Isto é necessário porque o motor de busca do Google vê o endereço do site HTTPS como um recurso diferente.
As etapas envolvidas na compra e instalação de um certificado SSL
As etapas envolvidas na compra e instalação de um certificado SSL
Mostraremos os passos envolvidos na compra e instalação de um certificado SSL, utilizando o exemplo do servidor Xervers, onde a melhoria da gestão de certificados tornou-se uma prioridade.
1. Comprar certificado SSL
1a – Para comprar um Certificado SSL à Xervers, deve primeiro registar-se no website, depois iniciar sessão com o seu nome de utilizador e palavra-passe. Neste site, terá várias opções para se inscrever, via Facebook, Google e até Twitter. Isto é o que cria conveniência e poupa-lhe tempo pessoal.
2a – Selecionar no menu principal “OUTROS SERVIÇOS”.
3a – A partir do sub menu drop-down, selecione “ CERTIFICADOS SSL”
4a– Ao clicar sobre ele, será levado para uma página com certificados SSL. Aqui pode escolher qual o certificado SSL que melhor se adequa a si. Selecionaremos o certificado mais fácil para o nosso sítio de testes, porque é apenas informativo e não recolhe dados de utilizadores.
5a – Depois vai-se ao departamento de pagamento onde todo o processo de compra do certificado SSL é feito. É muito importante não cometer erros ao introduzir os seus dados, é melhor verificar o seu primeiro e último nome, morada e os detalhes da sua empresa, se for necessário.
Pode pagar de várias maneiras, a mais conveniente para si:
– Transferência Bancária
– PayPal
– Pagaqui
– Paysafecard
– Via MB
– PayShop
– MB Multibanco
Há também um campo de entrada de texto para o caso de ter dúvidas ou querer saber mais informações.
6a – Feito!
Adquiriu um certificado SSL. Após o pagamento, receberá todos os detalhes da sua encomenda no seu endereço de correio eletrónico.
7a – Se não conseguir encontrar o seu certificado SSL após a compra, pode sempre encontrá-lo na pasta “Serviço(s) – Meus Serviços
As etapas envolvidas na ativação e validação de um certificado SSL
Acabou de adquirir um certificado SSL em https://xervers.pt e precisa do activar. Com o seguinte guia passo-a-passo poderá activar rapidamente o seu certificado adquirido em apenas alguns passos simples:
1b. Entre na sua área pessoal no website https://xervers.pt
2b. Selecione no menu Serviço(s) – Meus Serviços. Depois de clicar no botão Meus Serviços, será levado para a página de detalhes dos produtos que encomendou. Aqui poderá ver os nomes dos certificados, o custo, o período e a data do próximo pagamento. Aqui encontrará o certificado SSL que acabou de adquirir, que deve ser activado e anexado ao seu domínio.
3b. Clique no certificado SSL que ainda não está anexado ao domínio. Isto irá levá-lo para a página de ativação do certificado.
Abaixo pode encontrar uma descrição detalhada passo a passo do procedimento de ativação com capturas de ecrã:
4b. Clique no botão verde para gerar o certificado.
5b. Será levado para a página seguinte, onde aparecerá um campo para introduzir o código do certificado longo. Este campo pode estar em branco no caso de o sistema não o ter preenchido automaticamente. Se o campo estiver vazio, deve gerar um código CSR válido (Certificate Signing Request) e colá-lo no campo vazio.
6b. Onde posso obter o código CSR? Para o fazer, é necessário iniciar sessão na Direct Admin.. Após ter pago a sua encomenda de domínio, receberá os detalhes da sua conta no e-mail fornecido durante o registo. Utilize estes registos para iniciar sessão na sua Direct Admin.
7b. No menu do lado esquerdo, seleccionar Funções de contas e depois seleccionar Certificados SSL
8b. Após navegar para a página de certificados SSL, é necessário ir para a criação do separador de código CSR. No formulário aberto é obrigatório o preenchimento de campos. Aqui pode preencher os seus dados pessoais. Para emitir corretamente o certificado, é necessário que o cliente seja o proprietário do domínio indicado nos dados whois. Por defeito, alguns dos campos podem já estar preenchidos com os dados que forneceu durante o registo, mas pode alterá-los se necessário. Lembre-se de assinalar a caixa e depois clicar no botão verde de guardar.
9b. Depois de premir o botão verde, aparecerá uma janela com o código CSR gerado. Note que ao gerar a RSA também receberá uma chave RSA. A RSA é uma chave privada, é necessária para a futura instalação de certificados SSL.
A perda da RSA leva à posterior remissão do certificado SSL. Portanto, guarde-o de imediato e não o apague pelo menos até que a instalação do certificado seja bem sucedida. Código de cópia. A seguir, inserir CSR (Certificate Signing Request) no campo designado.
10b. Temos agora de voltar a https://xervers.pt , para a página de geração de códigos de RSE. Portanto, inserir o código CSR no campo atribuído. Depois de inserir o código CSR, verificar os parâmetros deste código nos Parâmetros do bloco CSR. Em caso de apresentação de dados incorretos, é necessário gerar um novo CSR.
11b. Abaixo, na mesma página, verificar os detalhes do administrador do website e depois clicar no botão para mais ações.
12b. Depois, na página seguinte, não se esqueça de especificar o método HTTPS no menu pendente e ir para a página seguinte.
13b. Óptimo! Conseguimos completar a configuração. Agora é muito importante descarregar o arquivo com os ficheiros do certificado SSL. Depois disso, na pasta principal do nosso website, criamos uma pasta chamada “.well-known”. Nesta pasta iremos criar outra pasta chamada pki-validation e colocar nela o ficheiro de texto dos ficheiros de certificados SSL. Agora, o trabalho básico está feito.
No ecrã seguinte, se tudo tiver sido feito corretamente, receberá uma confirmação de que a informação foi submetida à Autoridade de Certificação e que o seu certificado está pendente de validação.
14b. Para verificar o estado do seu certificado SSL vá para a própria página do certificado através do menu familiar.
15b. Seleccione o certificado SSL requerido e clique para prosseguir.
16b. Vê agora um estatuto à espera de validação do certificado. A validação é normalmente muito rápida, entre 5 a 15 minutos. Se a validação não for efetuada no prazo de 2 horas, escrever para o endereço: suporte@xervers.pt
17b. PARABÉNS!!! Conseguiu ativar, configurar e validar o seu certificado SSL por si próprio. Clique no link azul na tabela para obter o selo do site seguro PositiveSSL, de modo a o exibir no seu website. Isto dará aos seus visitantes mais confiança.
