Escolhendo o certificado HTTPS certo para o seu site WordPress
Publicados: 2019-09-27Em nosso post anterior WordPress HTTPS, SSL e TLS – um guia para administradores de sites, explicamos o que são HTTPS e todos os outros termos técnicos e como funciona. Neste artigo, discutimos os certificados HTTPS, as diferentes maneiras de adquirir um para o seu site WordPress e por que você deve ou não pagar por um. Vamos mergulhar direto.
O que é um certificado HTTPS?
Antes de podermos discutir os comos e os porquês dos certificados HTTPS, precisamos discutir o que é um certificado em primeiro lugar. Um certificado é usado para:
- criptografar o tráfego entre o servidor web e o navegador web,
- verifique se o servidor web ao qual você está conectado é realmente quem afirma ser (um meio de identificação).
Um certificado HTTPS (certificado TLS) contém prova criptográfica de que uma entidade confiável por um navegador pode atestar a identidade desse site. Essa entidade é chamada de Autoridade de Certificação (CA). As CAs desempenham um papel crucial quando se trata de certificados HTTPS.
Você pode pensar em uma Autoridade de Certificação semelhante a um “escritório de passaportes” que verifica sua identidade de forma independente e fornece um “passaporte” (certificado) para provar sua identidade a outras pessoas. No entanto, para que alguém (um navegador da web) valide seu “passaporte”, eles precisam confiar no “escritório de passaporte” (autoridade de certificação) que emitiu o “passaporte” (certificado). Semelhante a um passaporte, um certificado terá recursos de segurança integrados para dificultar a falsificação .
Em outras palavras, para servir seu site por HTTPS, você precisa de uma Autoridade de Certificação para fornecer um certificado que comprove a identidade do seu site WordPress (você é quem diz ser).
Diferentes tipos de certificados HTTPS
Embora possa não ser imediatamente óbvio, existem 3 tipos diferentes de certificados que você pode obter:
- Validação de Domínio (DV)
- Validação da Organização (OV)
- Validação Estendida (EV).
Os certificados DV são de longe os certificados mais comuns. Ao obter um certificado DV, você verá a interface de usuário normal do navegador que você esperaria. Observe que isso difere de navegador para navegador e até mesmo de uma versão de navegador para outra, mas geralmente você verá um cadeado e, às vezes, a palavra “seguro”.
Os certificados OV são mais difíceis de obter do que os certificados DV porque exigem mais validação. No entanto, eles raramente são usados. Eles parecem exatamente iguais para o usuário final, não oferecem benefícios tangíveis em relação aos certificados DV e custam mais.
Isso deixa os certificados EV – os certificados de Validação Estendida devem exigir um processo de verificação completo para que uma organização obtenha um. Eles são consideravelmente mais caros e historicamente têm sido tratados de forma ligeiramente diferente pelos navegadores em termos de interface do usuário.
No entanto, em versões recentes do Chrome, Firefox e Safari, esse indicador foi movido para uma seção muito menos visível. Isso se deve em grande parte ao fato de que não há evidências de que os certificados EV transmitam qualquer nível significativo de confiança aos usuários finais. Em alguns casos, o EV pode causar mais confusão aos usuários finais. Tanto que a grande maioria dos sites mais populares da Internet estão migrando de certificados EV para certificados DV.
Que tipo de certificado você precisa para o seu site WordPress?
Então, resumindo, você quer um certificado de validação de domínio (DV) para o seu site WordPress. Não há nenhuma razão real para você precisar de um certificado de Validação Estendida (EV), especialmente agora que os navegadores estão praticamente removendo qualquer vantagem de possuir um (além disso, eles também são muito caros).
Obtendo um certificado HTTPS
Tradicionalmente, obter um certificado HTTPS significava pagar uma taxa anual a uma Autoridade de Certificação (CA). O processo era manual e bastante irritante para os administradores.
Felizmente, em 2012, a Mozilla começou a trabalhar no que ficou conhecido como Let's Encrypt ; uma autoridade de certificação sem fins lucrativos administrada pelo Internet Security Research Group (ISRG). Ele fornece certificados HTTPS gratuitamente para todos . Não é surpresa que em poucos meses tenha se tornado a maior CA da Internet.
Além de simplesmente ser uma CA gratuita, Let's Encrypt foi revolucionário porque foi a primeira CA a usar o protocolo ACME. O protocolo ACME permite a renovação automática do certificado. Isso permite que a Let's Encrypt faça certificados com vida útil menor (90 dias), o que é mais seguro. Além disso, os administradores de sistema não precisam se preocupar em renovar seus certificados graças a ferramentas como o Certbot.
Limitações de certificados HTTPS do Let's Encrypt
Embora existam milhares de artigos on-line sobre como fazer com que o Let's Encrypt funcione para o seu site WordPress, é importante perceber que pode haver casos em que você não consiga usar seus certificados. Isso é especialmente verdadeiro se você estiver pagando por um certificado HTTPS como parte de seu plano de hospedagem na web ou se não tiver controle total do seu servidor web.
Nesse caso, verifique se você pode usar um certificado Let's Encrypt com o suporte ao cliente do seu provedor de hospedagem antes de gastar dinheiro com um certificado. Atualmente, a maioria dos serviços de hospedagem WordPress suportam certificados Let's Encrypt.
Se não for possível usar um certificado Let's Encrypt com seu plano de hospedagem, você pode precisar de um certificado HTTPS comercial ou pode usar um serviço de firewall / CDN do WordPress online. A maioria deles oferece certificados HTTPS gratuitos como parte de seus serviços.
Configurando seu WordPress em HTTPS
Além de obter um certificado HTTPS e habilitar HTTPS em seu servidor web, você também deve certificar-se de que seu site WordPress também esteja configurado para HTTPS. Embora você possa fazer isso sem o uso de plugins, provavelmente é mais fácil para a maioria dos administradores do WordPress usar um plugin popular como o Really Simple SSL. Com esse plug-in, você garante que todos os seus links apontem corretamente para a versão HTTPS do seu site.
Também é importante observar que os mecanismos de pesquisa tratam sites HTTP e HTTPS como sites diferentes . Portanto, a menos que você já tenha feito isso, você também deve enviar seu site HTTPS para o Google Search Console.
Os certificados HTTPS gratuitos são realmente bons?
Muitos proprietários de sites WordPress ainda estão céticos sobre o uso do certificado HTTPS gratuito da Let's Encrypt. Alguns estão preocupados em retratar uma imagem de que não levam a segurança a sério, então temem perder clientes. Alguns outros pensam que os certificados HTTPS gratuitos não são tão bons quanto os pagos. Eu não os culpo – nenhum bom produto/serviço está realmente disponível de graça. No entanto, este é um caso diferente.
Let's Encrypt é gratuito para você como usuário, mas não é um projeto gratuito. Eles podem emitir certificados HTTPS gratuitos graças a patrocinadores como Google, Facebook, Microsoft, Cisco e muitos outros! Então, digamos que todas essas grandes corporações estão pagando pelo certificado HTTPS do seu site WordPress.
Let's Encrypt é uma autoridade de certificação completa. Não há nada diferente, especialmente em termos de recursos de criptografia, entre certificados TLS gratuitos da Let's Encrypt e um pago. Dito isto, não há mal nenhum em pagar por um certificado HTTPS, se você puder justificar o custo.
O HTTPS torna meu site “seguro”?
Infelizmente, nada é 100% seguro, e o HTTPS certamente não é exceção a essa regra. HTTPS é apenas uma pequena parte do programa de segurança do seu site WordPress. Permite:
- que seus usuários se conectem com segurança ao seu site sem que suas comunicações sejam interceptadas por olhares indiscretos na mesma rede.
- ajuda com parte do desafio constante que é a segurança do site.
No entanto, não é uma bala de prata: embora você deva, sem dúvida, implementar e aplicar o HTTPS, isso não significa que você terminou de proteger seu site WordPress.
O que mais posso fazer para garantir que meu site WordPress seja seguro?
Há muito que você pode fazer para melhorar a segurança do seu site WordPress. Recomendamos que você comece com o seguinte:
- Use um firewall WordPress,
- Aplique políticas de senha fortes do WordPress,
- Instale um plug-in de monitoramento de integridade de arquivos,
- Mantenha um registro de todas as alterações que acontecem no WordPress,
- Mantenha o núcleo do WordPress, todos os plugins, temas e softwares que você usa atualizados.