SSL significa Secure Sockets Layer. É um protocolo importante para proteger e autenticar dados na Internet. Devido a movimentos como o Encrypt All The Things e o impulso do Google para uma adoção mais ampla do SSL, o SSL tem sido um tópico popular nos círculos da web. Mas, apesar disso, muitos webmasters ainda não sabem ao certo como o SSL funciona e por que é importante … ou até mesmo o que o SSL representa, em primeiro lugar!

Embora já tenhamos coberto o significado da sigla, vamos aprofundar um pouco mais essa entrada e informar o que é SSL, além de como ela funciona para tornar a web um lugar melhor para você e para os visitantes de seu site.

O Que o SSL representa? Como Funciona o SSL

Apenas para reiterar – SSL significa Secure Sockets Layer. É um protocolo usado para criptografar e autenticar os dados enviados entre um aplicativo (como seu navegador) e um servidor da web. Isso leva a uma Web mais segura para você e os visitantes do seu site. O SSL está intimamente ligado a outro acrônimo – TLS. TLS, abreviação de Transport Layer Security, é a versão sucessora e mais atualizada do protocolo SSL original.

Hoje em dia, SSL e TLS são frequentemente referidos como um grupo – por ex. SSL/TLS – ou alternadamente. Por exemplo, Let’s Encrypt (que discutiremos mais em um segundo) anuncia a oferta de “Certificados Free SSL/TLS”. Mas você também encontrará muitos sites simplesmente discutindo certificados SSL, mesmo quando eles realmente significarem TLS.

Certificados SSL/TLS
Um exemplo de combinação de SSL e TLS

Então, de onde veio o SSL e como chegamos aonde estamos hoje com o TLS? O SSL versão 1.0 foi desenvolvido pela Netscape no início dos anos 90. Mas devido a falhas de segurança, nunca foi liberado para o público. A primeira versão pública do SSL foi SSL 2.0 em fevereiro de 1995. Embora tenha sido uma melhoria em relação ao SSL 1.0 não lançado, o SSL 2.0 também incluiu seu próprio conjunto de falhas de segurança, o que levou a uma reformulação completa e à versão subsequente do SSL versão 3.0 ano depois.

O SSL versão 3.0 foi o último lançamento público e foi eclipsado em 1999, quando o TLS foi introduzido como substituto. Neste ponto, o SSL 3.0 está obsoleto e não é mais considerado seguro devido à sua vulnerabilidade ao ataque POODLE. Quanto ao TLS, agora ele está no TLS 1.3, que oferece várias melhorias para desempenho e segurança. O Kinsta suporta o TLS 1.3 em todos os nossos servidores e no nosso Kinsta CDN.

Por que não estamos todos usando certificados TLS então?

Embora a comunidade da web geralmente os refira como certificados SSL fora de conveniência, os certificados não dependem realmente do protocolo específico em seu nome. Em vez disso, o protocolo real usado é determinado pelo seu servidor. O que significa que mesmo que você ache que instalou algo chamado certificado SSL, provavelmente está usando o protocolo TLS mais atualizado e seguro.

Até que a comunidade da Web adote a terminologia do TLS, é provável que você continue a ver esses certificados na maioria das vezes chamados de certificados SSL, para simplificar.

Como o HTTPS e o SSL são conectados?

As pessoas que construíram a Internet adoram suas siglas – outro termo que você normalmente vê discutido ao falar sobre SSL/TLS é HTTPS. HTTP (sem o S) significa Hypertext Transfer Protocol.

O HTTP e seu sucessor HTTP/2 são protocolos de aplicativos que sustentam como as informações são transferidas pela Internet. Eles são essencialmente a base para a comunicação de dados na Internet. Quando você adiciona de volta o S, ele simplesmente se torna Protocolo de Transferência de Hipertexto Seguro (ou HTTP sobre TLS ou HTTP sobre SSL).

Essencialmente, o SSL/TLS protege as informações enviadas e recebidas pelo HTTP. Isso tem vários benefícios …

Quais São os Benefícios do Uso de SSL/TLS?

Muitos webmasters operam sob a falsa suposição de que o SSL/TLS só oferece benefícios a sites que processam informações confidenciais, como cartões de crédito ou detalhes bancários. E, embora o SSL / TLS certamente seja essencial para esses sites, seus benefícios não são de forma alguma limitados a essas áreas.

Um dos principais benefícios do SSL/TLS é a criptografia. Sempre que você ou seus usuários inserem informações em seu site, esses dados passam por vários pontos de contato antes de chegar ao destino final. Sem SSL/TLS, esses dados são enviados como texto sem formatação e os agentes maliciosos podem espionar ou alterar esses dados. O SSL/TLS oferece proteção ponto-a-ponto para garantir que os dados estejam seguros durante o transporte. Até mesmo uma página de login do WordPress deve ser criptografada! Se um certificado SSL estiver presente mas não for válido, seus visitantes podem ser confrontados com o erro “sua conexão não é privada“.

Outro benefício importante é a autenticação. Uma conexão SSL/TLS em funcionamento garante que os dados sejam enviados e recebidos do servidor correto, em vez de um “homem do meio” mal-intencionado. Isto é, ajuda a impedir que os agentes maliciosos falsifiquem um site.

O terceiro benefício principal do SSL/TLS é a integridade dos dados. As conexões SSL/TLS garantem que não haja perda ou alteração de dados durante o transporte, incluindo um código de autenticação de mensagem ou MAC. Isso garante que os dados enviados sejam recebidos sem alterações ou alterações maliciosas.

Além da criptografia, autenticidade e integridade, há também outros benefícios menos técnicos, como:

Como Você Pode Saber Se um Site Está Usando SSL/HTTPS?

A maneira mais fácil de ver se um site está usando SSL/TLS é olhar para o seu navegador. A maioria dos navegadores marca conexões seguras com um cadeado verde e/ou uma mensagem. Por exemplo, no Google Chrome, você pode procurar um cadeado verde e a mensagem segura:

Como o Google Chrome trata o HTTPS
Como o Google Chrome trata o HTTPS

Enquanto no Firefox, você verá apenas um cadeado verde:

Como o Firefox trata o HTTPS
Como o Firefox trata o HTTPS

No Microsoft Edge, você realmente não vê uma cor, mas sim um simples cadeado cinza e branco.

Como o Edge trata o HTTPS
Como o Edge trata o HTTPS

O Google Vai Penalizar Sites que Não Usam SSL?

Recentemente, o Google vem lançando um conjunto cada vez mais severo de penalidades / avisos no Google Chrome para sites que não instalam certificados SSL. Essas penalidades começaram em janeiro de 2017 com a introdução de um aviso Não é seguro em páginas que solicitaram detalhes de cartão de crédito ou senhas sem um certificado SSL:

Aviso de não segurança do Chrome de janeiro de 2017
Aviso de não é segro do Chrome de janeiro de 2017

Essa mudança foi o primeiro empurrão no impulso do Google para aumentar o uso de SSL e HTTPS. Mas recentemente, eles aumentaram ainda mais as coisas.

Aumento dos avisos não é seguro em outubro de 2017

Em outubro de 2017, o Google lançou notificações ainda mais agressivas. A partir do Chrome 62 (lançado em 17 de outubro de 2017), o Google adicionou o aviso Não é seguro a:

  • Todas as páginas HTTP onde os usuários inserem qualquer tipo de dados, incluindo algo tão simples quanto uma caixa de pesquisa. O aviso não aparecerá no carregamento inicial da página, mas aparecerá sempre que um usuário começar a inserir dados em um campo
  • Todas as páginas HTTP no modo de navegação anônima do Chrome
Chrome Not Secure Warning outubro de 2017
Chrome Not Secure Warning outubro de 2017

Google só irá ficar mais agressivos

O plano de longo prazo do Google eventualmente, marcar todas as páginas HTTP como Não seguras. Isso significa que, mesmo que você não peça aos usuários para preencher qualquer tipo de campo de formulário, você será surpreendido pelo aviso, não importa o quê. Por esse motivo, é importante começar a planejar a migração para SSL / TLS e HTTPS agora.

Em 2020, o Chrome começou a exibir notificações de aviso ERR_SSL_OBSOLETE_VERSION quando os sites utilizam TLS 1.0 ou TLS 1.1 (versões antigas).

Como Instalar um Certificado SSL no Seu Site

Muitos hosts facilitam a instalação de um certificado SSL/TLS gratuito. Aqui em Kinsta, todos os domínios verificados são automaticamente protegidos pela nossa integração Cloudflare, que inclui certificados SSL gratuitos com suporte wildcard. Outros hosts podem usar um serviço chamado Let’s Encrypt, que oferece certificados SSL/TLS gratuitos. Você pode ver uma lista completa dos hosts que suportam o Let’s Encrypt aqui.

Se o seu host não oferece certificados SSL gratuitos, ou se você quiser um tipo diferente de certificado SSL, você também pode comprar seu próprio certificado de um provedor terceirizado.

Você pode ler este guia para instruções sobre como adicionar um certificado SSL ao seu site na Kinsta. Você pode fazer isso com um único clique!

O que Fazer Depois de Instalar um Certificado SSL

Sim – há ações técnicas e não técnicas que você precisa realizar depois de instalar um certificado SSL. Primeiro, em um nível técnico, é importante redirecionar todo o tráfego HTTP para HTTPS. Você também deve garantir que não está carregando nenhum recurso via HTTP. Geralmente, serão suas próprias imagens ou conteúdo externo que você recebe, como scripts ou serviços de anúncios externos. Isso ajuda você a evitar o Aviso de Conteúdo Misto.

Além desses dois detalhes técnicos, você provavelmente também desejará executar as seguintes tarefas, dependendo das ferramentas usadas:

  • Adicione a versão HTTPS do seu site nas ferramentas do Google para webmasters.
  • Certifique-se de rastrear scripts como Google Analytics ou outros estão configurados para trabalhar com HTTPS.
  • Certifique-se de que você não está recebendo nenhuma mensagem de erro relacionada à conexão SSL.

Tudo somado, o SSL/TLS é um protocolo importante para criar uma web segura e protegida. E agora que você sabe como o SSL funciona, se você ainda não fez a mudança, recomendamos que você considere instalar um certificado SSL/TLS e mover seu site para HTTPS.

Temos um guia de migração HTTP para HTTPS muito detalhado, leia-o e siga os passos!