- 1. Atualmente lendo: O que é HTTPS e por que é tão importante?
- 2. Como instalar SSL grátis do Let’s Encrypt no WordPress
Então, o que é essa coisa de https que eu continuo vendo repetidamente? O nome HTTPS deriva de Hyper Text Transfer Protocol Secure, o nome original do protocolo é HTTP, a letra chave aqui é o “s” em HTTPS que significa seguro .
Quando você envia e recebe dados pelo seu navegador, isso pode ser feito de 2 maneiras. Seja Padrão ou Garantido . Quando você visita sites que usam HTTP padrão, significa que sua comunicação com o servidor está viajando sem criptografia. Na maioria dos casos, isso é bom, pois você provavelmente está apenas lendo o conteúdo fornecido por um site, não fornecendo dados privados valiosos.
Mas nos casos em que você está fornecendo informações pessoais (especialmente dados de cobrança, bancários ou de identificação), isso não é ideal porque um invasor em potencial pode interceptar esse conteúdo e alterá-lo rapidamente. O que, por sua vez, pode levar a tentativas de hackers ou roubo. Isso significa que, para negócios on-line e sites de comércio eletrônico seguros , o uso de HTTP não é absolutamente aceitável .
A troca de dados privados, como transações de cartão de crédito, exige HTTPS, mas com o aumento atual das atividades de hackers, a demanda pelo que o google chama de HTTPS Everywhere está crescendo a cada dia.
Por que o HTTPS está se tornando mais importante
Agora que você sabe o que é HTTP, é importante entender por que é importante. Para simplificar demais: HTTPS ajuda a manter suas atividades de navegação na web seguras.
Um site HTTP que funciona sem criptografia pode ser mais suscetível a ataques . Sites que são invadidos também podem levar à instalação de software malicioso neles, o que afeta os leitores, pois o malware também afetará os navegadores. Essa situação se tornou uma preocupação crescente com tentativas automatizadas de hackers ocorrendo em todo o mundo. O uso de HTTPS ajudaria a anular muitos desses ataques, convertendo todas as transferências de dados em conexões criptografadas, que são mecanismos de criptografia mais difíceis de quebrar.
O uso de HTTPS pode levar a uma Web mais segura e protegida. Mas até agora tem sido um longo caminho, e ainda há muito a fazer antes que o HTTPS possa se tornar universal. Além disso, é importante lembrar que o HTTPS não é o único fator a ser considerado na criação de sites seguros – existem muitas outras etapas que os gerentes da web devem implementar para a segurança do blog .
HTTPS teve muitas falhas no passado
Por que o HTTPS está se tornando mais importante agora ? No passado, o HTTPS lutou para ganhar força desde que os Certificados SSL (os documentos reais da Web responsáveis
Portanto, a única outra opção para pessoas com orçamento limitado são os certificados “autoassinados”. Estas não são uma alternativa viável, pois lançam um aviso no seu navegador . O aviso de certificados autoassinados é suficiente para impedir que seus leitores tentem acessar seu site, pois pode parecer perigoso demais para ser ignorado. Isso torna os certificados “autoassinados” inúteis para qualquer tentativa séria de aumentar sua presença online . No entanto, eles ainda são uma opção quando usados
Esta tem sido uma enorme desvantagem para blogueiros e pequenas empresas em todo o mundo. Embora as empresas maiores não tenham problemas com o custo, os blogueiros com orçamento limitado que ainda não estão gerando uma renda suficiente com seu site simplesmente não podem pagar por esses certificados. E sem uma alternativa confiável, eles foram SOL para SSL.
Além de tudo, uma vez que um site foi carregado com HTTPS, o tempo de carregamento do referido site sofreu. Isso ocorreu devido à sobrecarga adicional que o servidor teve que suportar por ter que criptografar todos os dados antes de enviá-los. Não é um processo eficiente se você estiver disposto e puder pagar em primeiro lugar.
A versão 3 do SSL agora está obsoleta
Para adicionar mais insulto à injúria, certificados SSL válidos estavam operando em uma plataforma obsoleta. A última versão do SSL chamada versão 3 que começou em 1996 tinha cada vez mais falhas expostas, tanto que a Internet Engineering Task Force (IETF) decidiu torná-la obsoleta
O novo protocolo TLS é muito mais seguro em todos os sentidos, o que levou ao banimento de todo o SSLv3 nos principais navegadores.
Mais poder de CPU, vamos criptografar, TLS e HTTP/2 mudaram o jogo
Com o advento de novos hardwares, processadores mais rápidos, servidores web mais rápidos (como nginx e lighttpd) e mecanismos de cache mais rápidos (como verniz), a sobrecarga de suporte a HTTPS foi bastante reduzida. Isso significa que os novos adotantes de SSL não precisam se preocupar com tempos de carregamento lentos.
Além disso, o novo protocolo TLSv1.2 introduzido para SSL tornou o SSLv3 obsoleto e abriu caminho para uma adoção mais rápida do SSL.
Além disso, o recente lançamento do HTTP/2 será o último prego no caixão para os apoiadores do HTTP. HTTP/2 é um protocolo melhorado sobre o HTTP original que foi pensado e desenvolvido para os dias atuais. HTTP não criptografado é um protocolo mais antigo que funciona bem, mas não é tão otimizado para as necessidades atuais (não se preocupe – falaremos mais sobre HTTP/2 em um próximo artigo).
HTTP/2 usa multiplexação para melhorar o desempenho em relação ao HTTP tradicional. Imagem cortesia de CloudFlare
Esses fatores (e mais) juntos reduzem o impacto de ter um site rodando em HTTPS quase a zero. Mas e o custo? Esta última pergunta foi alterada por uma variável e se chama: Let’s Encrypt.
Vamos criptografar
Let’s Encrypt é uma autoridade certificadora gratuita . Isso significa que ele pode emitir certificados gratuitos com duração válida de 90 dias e os certificados não custam nada para serem implementados. O Let’s Encrypt saiu recentemente do Beta e tem funcionado perfeitamente desde então. Esta última peça do quebra-cabeça fez com que todo o “HTTPS em todos os lugares” do Google estivesse um passo mais perto de ser realizado. O principal problema que o Google tem agora é a adoção.
Felizmente o Let’s Encrypt tem várias maneiras de emitir um certificado seja via web pelo ZeroSSL , por um plugin wordpress via WP-Encrypt ou por servidor com os novos pacotes no Debian e outras distribuições linux chamadas Certbot.
WP Encrypt Plugin WordPress Gratuito
O plugin WP Encrypt WordPress gratuito facilita a instalação e o gerenciamento do seu certificado SSL Let’s Encrypt gratuito. Você pode usar o plugin para criar um certificado, registrá-lo e mover seu site para HTTPS. Mas a melhor parte é que o plugin renovará automaticamente seu certificado para você a cada 90 dias, então você sempre terá um certificado SSL válido.
Vamos criptografar hospedagem compatível
A segunda maneira fácil de adicionar Let’s Encrypt é através de sua empresa de hospedagem. Muitos hosts populares integram o Let’s Encrypt com seus pacotes para tornar mais fácil e acessível para seus clientes adicionar SSL aos seus sites WordPress. Alguns dos nossos favoritos incluem Cloudways , WP Engine e Flywheel . Esses adotantes iniciais tornaram a adição de SSL e fácil parte de seus processos de configuração de sites já simples.
Google já está empurrando HTTPS com SEO Ranking Boost
O Google já havia começado a considerar a adoção de HTTPS como parte de seu próprio algoritmo de classificação de SEO em 2015. Então, eles anunciaram em 2016 que iriam implementar um aumento de classificação muito pequeno em todos os sites que mudam de HTTP para HTTPS . De acordo com o Google, isso atualmente não é forte o suficiente para afetar os rankings de maneira significativa, mas é uma indicação do que está por vir.
Como você pode ver, o Google já fez mudanças reveladoras em 2015 e 2016, e agora eles vão ultrapassar ainda mais os limites em 2017.
Haverá um aviso no Google Chrome em 2017
Com o protocolo HTTP/2 agora amplamente adotado e talvez até a proliferação de usuários do Let’s Encrypt agora contando milhões em todo o mundo, o Google começou a dar o próximo passo. O Google anunciou recentemente que começará a exibir um ponto de exclamação para todos os sites não criptografados, começando com a recente atualização do Google Chrome .
Então, a partir de janeiro de 2017, eles planejam sinalizar sites HTTP que transmitem dados confidenciais do usuário (como senhas, informações de cartão de crédito etc.) com um sinal de alerta vermelho. Isso, sem dúvida, começará a criar desconfiança em todos os sites que não fazem a troca.
O movimento é ousado, tenho certeza disso, mas diz algo sobre para onde a web está indo. Com mais e mais sites mudando para HTTPS e o aumento no uso da Internet em todo o mundo, o HTTPS será o padrão de fato nos próximos anos.
Recapitular
Novas tecnologias finalmente chegaram para tornar o HTTPS muito mais atrativo. Com a inclusão de servidores web mais rápidos, CPUs mais rápidas, melhores mecanismos de criptografia de protocolo através do TLSv1.2, o protocolo HTTP/2 lançado recentemente e Let’s Encrypt dando certificados gratuitos para quem quiser, o caminho foi pavimentado para uma adoção mais rápida do HTTPS. Além disso, a aplicação da mudança pelo Google por atualizações futuras é outro impulso em direção ao HTTPS.
Mas não se preocupe – como mencionado no primeiro artigo deste post, para blogs e revistas você não deve se sentir pressionado a correr para HTTPS. Você deve pensar cuidadosamente em sua mudança de HTTP para HTTPs, pois isso pode afetar suas classificações nos mecanismos de pesquisa. Mas para sites baseados em e-commerce e associação, você precisará de HTTPS habilitado e ativo em suas páginas de login e checkout para evitar que os usuários vejam um aviso em 2017.
Eu te dei motivos suficientes para mudar? No meu próximo artigo, examinarei como fazer a mudança para HTTPS no WordPress usando plugins, como adicionar seu certificado no cPanel, Vesta ou seu VPS personalizado com nginx. Fique ligado!
