Uma introdução aos certificados SSL para WooCommerce

Publicados: 2015-12-24

Parte do processo de iniciar uma loja online é encontrar uma maneira de garantir a experiência de seus compradores. Você quer que seus clientes em potencial se sintam seguros, é claro, e saibam que seus dados não vão cair em mãos erradas.

Se você é novo no comércio eletrônico, pode ter ouvido algumas conversas sobre certificados SSL ou HTTPS como parte desse processo de segurança. E você pode ficar totalmente confuso com isso. Relaxe — isso é normal, e podemos ajudar.

SSL parece um tópico complicado, mas depois de entender a premissa e por que sua loja pode precisar dele, não é algo com o qual você terá que se preocupar . Na verdade, para a maioria dos proprietários de lojas, você pode obter um certificado para adicionar SSL à sua loja em apenas alguns minutos.

Vamos ver o que é SSL, por que você pode precisar dele e como obter um certificado para sua loja. Ao final deste post, sua confusão deve ter desaparecido e você deve estar ainda mais preparado para começar a vender online.

O certificado SSL explicado

Para entender o que é um certificado SSL e por que você pode precisar de um, vamos primeiro dar uma olhada rápida na tecnologia por trás dele.

Uma lição rápida sobre SSL

SSL significa “Secure Sockets Layer”, embora às vezes também seja chamado de “Transport Layer Security” (ou TLS). SSL por si só é um protocolo usado para proteger e proteger transações – embora não necessariamente financeiras – entre destinos em uma rede .

O SSL depende da criptografia para tornar essas transações privadas. Cada mensagem transmitida deve passar por uma verificação interna da integridade dessa criptografia antes de ser bem-sucedida. Se a verificação falhar (devido à corrupção de dados ou qualquer tentativa inesperada de alterar ou capturar os dados), os dados criptografados não serão expostos.

Usamos SSL todos os dias quando navegamos em sites comuns como Facebook, YouTube e lojas online. A criptografia usada impede que pessoas mal-intencionadas interceptem transações tão inocentes quanto suas consultas de pesquisa... ou tão perigosas quanto suas informações de cartão de crédito.

Como o SSL se aplica a certificados de sites

Quando um site deseja proteger suas transações, ele obtém um certificado SSL para esse domínio. O certificado SSL aplica a criptografia descrita acima a todas as atividades do site , incluindo envios de páginas e formulários, transações financeiras e assim por diante. Isso evita o roubo de dados ou outros ataques desse tipo.

Os certificados SSL também contêm informações de segurança importantes , incluindo:

  • Nome da empresa
  • Localização da empresa
  • Tempo de validade do certificado
  • Dados da autoridade que emitiu o certificado

Isso permite que indivíduos que não tenham certeza sobre a autenticidade ou confiabilidade de um site cliquem no ícone verde de “cadeado” em seu navegador para revisar mais informações. Se eles ainda não se sentirem seguros, poderão sair do site.

Um exemplo do tipo de informação que você pode ver ao revisar um certificado SSL -- neste caso, o blog da Central de webmasters do Google.
Um exemplo do tipo de informação que você pode ver ao revisar um certificado SSL — neste caso, o blog da Central de webmasters do Google.

Como saber se um site usa SSL/TLS

Existem duas maneiras rápidas de saber se um determinado site possui um certificado SSL. Olhe para:

  • Um ícone de “cadeado” verde na barra de endereço e
  • Um URL que começa com https em vez de http

Dependendo de como o site usa SSL, isso pode não se aplicar a todas as páginas — como você aprenderá abaixo.

Como o uso do SSL está mudando

Por algum tempo, o padrão da Internet era que os certificados SSL fossem recomendados apenas para domínios ou páginas específicas de sites onde informações confidenciais (como dados financeiros) seriam transmitidas ou recebidas. No entanto, essa recomendação está mudando lentamente.

Em agosto de 2014, o Google anunciou que a segurança do site seria adicionada como um “sinal de classificação leve” para resultados em seu mecanismo de pesquisa . Isso significava que um site protegido com SSL/TLS tinha uma chance melhor de classificação mais alta para uma consulta do que um não seguro, supondo que todos os outros fatores fossem os mesmos.

Do anúncio:

[E]stámos realizando testes levando em consideração se os sites usam conexões seguras e criptografadas como um sinal em nossos algoritmos de classificação de pesquisa. Vimos resultados positivos, então estamos começando a usar HTTPS como um sinal de classificação. Por enquanto é apenas um sinal muito leve […] enquanto damos aos webmasters tempo para mudar para HTTPS. Mas com o tempo, podemos decidir fortalecê-lo, porque gostaríamos de incentivar todos os proprietários de sites a mudar de HTTP para HTTPS para manter todos seguros.

No ano passado, as possíveis implicações dessa mudança fizeram com que muitos proprietários de sites – não apenas proprietários de lojas – criptografassem seus sites com certificados SSL completos, alterando seus URLs para “https” em vez de “http”.

No entanto, isso não exige que ninguém proteja todo o site com SSL . Se quiserem, os proprietários de sites e lojas ainda podem colocar todas as suas páginas confidenciais em um subdomínio e comprar um certificado apenas para esse domínio, deixando o restante das páginas sem criptografia.

Como saber se sua loja online precisa de SSL

Lendo tudo isso, você pode estar convencido de que precisa de um certificado SSL. Afinal, a segurança é importante para você, certo?

No entanto, se você não capturar ou armazenar dados confidenciais, talvez não precise de um certificado . Isso pode soar estranho, então vamos nos aprofundar.

O cenário mais comum que faz com que os proprietários de lojas fiquem isentos da necessidade de SSL é o uso de um processador de pagamento externo — por exemplo, PayPal. Isso ocorre porque o PayPal é responsável por capturar e armazenar todas as informações confidenciais de pagamento de seu cliente, para que nunca sejam armazenadas em seu banco de dados .

Os processadores de pagamentos externos têm seus próprios padrões de segurança, certificados e métodos de transmissão segura de dados de e para sua loja. Portanto, você não precisa necessariamente de SSL, porque eles o cobrirão.

Se você não armazenar informações confidenciais de pagamento, talvez não precise de SSL.
Se você não armazenar informações confidenciais de pagamento, talvez não precise de SSL.

Outro cenário é se você não permitir que os clientes criem contas ou logins envolvendo senhas de qualquer tipo. Mesmo se você usar um gateway de pagamento de terceiros, totalmente externo, ainda poderá ter clientes criando contas com você para salvar seus endereços de envio e cobrança .

Embora essas informações sejam muito menos confidenciais, muitos clientes tendem a usar a mesma senha para todas as contas. Portanto, um pouco de engenharia reversa pode levar um hacker a obter acesso, digamos, à conta de e-mail de um comprador, conta bancária... você escolhe. Isso significa que, a menos que a criação de contas esteja desativada em sua loja, você precisará de SSL para proteger essas senhas e logins .

Para recapitular, os dois fatores que podem eliminar o SSL como requisito são:

  • Uso de um gateway de pagamento totalmente externo e
  • Absolutamente nenhuma funcionalidade de conta ou senha permitida pelos clientes

Se você não tiver esses dois fatores, precisará de um certificado para sua loja. E mesmo que o faça, você ainda deve considerá-lo , dada a possibilidade de o HTTPS se tornar mais importante para os rankings – e a tranquilidade do cliente – no futuro.

Precisa de SSL? Como obter um certificado (duas maneiras)

A maneira padrão de proteger sua loja com SSL até muito recentemente era pagar a terceiros por um certificado. Agora há outra opção, no entanto, conforme mencionado durante The State of the Word no WordCamp US.

Aqui estão duas maneiras de proteger sua loja e manter seus clientes satisfeitos.

Pagar por um certificado

Os certificados SSL podem ser adquiridos de uma ampla variedade de terceiros . Muitos revendedores de domínios os oferecem a seus clientes (às vezes até junto com seu nome de domínio), e também existem empresas independentes que vendem apenas certificados SSL.

Sua melhor aposta pode ser começar com a empresa da qual você comprou (ou planeja comprar) o nome de domínio da sua loja para determinar se eles oferecem certificados ou qualquer tipo de pacote. Caso contrário, uma simples pesquisa deve revelar várias opções confiáveis.

Antes de comprar, gaste alguns minutos considerando cuidadosamente o tipo de certificado que você precisa . Os certificados SSL básicos cobrem apenas um domínio — ex. exemplo.com ou subdomínio.exemplo.com. Mas você também pode comprar certificados de vários domínios ou certificados “curinga” para cobrir vários subdomínios (exemplo1.domínio.com, exemplo2.domínio.com…).

O preço dos certificados pagos geralmente varia de US$ 30 a US$ 50 por ano para domínios únicos e até US$ 300 por ano para opções de vários domínios ou curinga.

Certificados gratuitos da Let's Encrypt

O Internet Security Research Group (ISRG) atualmente tem um programa chamado Let's Encrypt em versão beta pública. O Let's Encrypt permite que qualquer pessoa proteja seu site com SSL/TLS gratuitamente - efetivamente dando aos proprietários de sites e lojas um certificado SSL permanente e gratuito .

O problema: Let's Encrypt não é tão simples quanto trabalhar com um registrador de domínio para comprar e instalar seu certificado. Ele também ainda está em beta, então bugs são possíveis. No entanto, ainda é totalmente gratuito e de código aberto.

Um diagrama da Let's Encrypt mostrando como seus certificados funcionam.
Um diagrama da Let's Encrypt mostrando como seus certificados funcionam.

Se você estiver interessado em seguir esse caminho, recomendamos enviar a documentação do Let's Encrypt ao seu desenvolvedor, que pode determinar o plug-in e o cliente necessários para o seu servidor e lidar com o processo de instalação do certificado para você.

As consequências de não ter um certificado

Você pode estar se perguntando “o que acontece se eu ignorar tudo isso e simplesmente não conseguir um certificado SSL?”

Na verdade, nada pode acontecer. Mas também pode haver consequências terríveis, incluindo:

  • Os compradores perdem a confiança em você porque sua loja parece insegura
  • Indivíduos desagradáveis ​​“falsificando” sua loja porque não há como provar que você é o verdadeiro proprietário ou fabricante de seus produtos
  • Um hacker usando engenharia reversa para sequestrar o e-mail, a mídia social ou outra conta on-line de um cliente com informações obtidas de sua loja
  • Roubo de dados pessoais ou financeiros confidenciais armazenados em seu servidor
  • A reação financeira pública e potencial causada por qualquer um dos eventos acima

Como você pode ver, é melhor simplesmente pagar por um certificado SSL e ficar tranquilo do que arriscar. Mesmo ter clientes em potencial incomodando você sobre o ícone de cadeado ausente – e potencialmente sair sem comprar porque está faltando – vale cerca de US $ 30 por ano, você não acha?

SSL não precisa ser uma questão complicada

Esperamos que esta introdução aos certificados SSL para comércio eletrônico tenha ajudado você a entender um pouco melhor por que você pode – ou não – precisar de um certificado para sua própria loja online.

Com alguma sorte, o SSL e a segurança da loja devem parecer muito mais fáceis para você entender agora. Mas se você ainda tiver alguma dúvida, teremos o maior prazer em respondê-la nos comentários abaixo! Pergunte, estamos sempre aqui para ajudar.