O que precisa de saber sobre a mudança de Http para Https
Se vai recolher informação sensível ou realizar transacções online, deve planear mudar de http para https no seu website.
Para descobrir porquê, comecemos por algumas definições:
Http (ou Hyper Text Transfer Protocol) é o método pelo qual os dados são movimentados na Web. Pode ver como o http é integral para o mundo online olhando para o início de qualquer endereço Web.
No lado positivo, o http é rápido e fiável. No lado negativo, é tão seguro como um diamante numa convenção de ladrões de gatos. Há muitas maneiras de hackear os dados que estão a ser transferidos via http e embora isso não seja um problema para muitas transferências de dados online (por exemplo, ver um vídeo, ver um website), é um problema se precisar de proteger os dados que estão a ser enviados.
Https (ou Hyper Text Transfer Protocol Secure) é a resposta para a questão da protecção de dados. Utilizado em sítios que apresentam comércio electrónico, bancos, e mesmo apenas uma página de login, o https protege os dados encriptando-os antes de os enviar de qualquer forma, utilizando um Certificado SSL (Secure Sockets Layer).
Um certificado SSL contém chaves de encriptação públicas e privadas que são longas cadeias de caracteres alfanuméricos utilizados para encriptar dados de uma forma que é muito difícil de descodificar, tornando-os assim ideais para proteger dados sensíveis.
O processo de mudança de Http para Https
Na superfície, a mudança de http para https é bastante simples:
- Compra um certificado SSL,
- Instale o seu certificado SSL na conta de alojamento do seu sítio web,
- Certifique-se de que qualquer ligação do sítio web é alterada de http para https para que não seja quebrada depois de inverter a mudança de https, e
- Set up 301 redirecciona de HTTP para HTTPS para que os motores de busca sejam notificados de que os endereços do seu sítio mudaram e para que qualquer pessoa que tenha marcado uma página no seu sítio seja automaticamente redireccionada para o endereço https depois de inverter o interruptor.
É tão fácil como isso. No entanto, graças ao número esmagador de opções oferecidas pelos fornecedores de certificados SSL e pacotes oferecidos pelas empresas de alojamento, este processo simples pode tornar-se muito confuso.
A situação não é ajudada pelo facto de que mover o seu sítio de http para https requer lidar com mais tecnologia do que a maioria das pequenas empresas sentem preferência.
É por isso que vamos mergulhar nos quatro passos acima apenas tão profundamente quanto necessário para tomar as decisões empresariais que precisam de ser tomadas e para compreender os detalhes técnicos a um nível básico.
Por que não ir mais fundo no lado técnico? Por uma boa razão que tornará todo o processo de mudança de http para https mais fácil:
A sua empresa de hospedagem pode gerir a maior parte do processo para si
Se já tem a experiência técnica necessária para mudar o seu site de http para https, então, por todos os meios, gere todo o processo de ponta a ponta.
Muitos pequenos empresários, no entanto, não têm experiência com a parte técnica deste processo. Como verá em breve, há uma curva de aprendizagem suficiente no final do negócio.
Como proprietário de uma pequena empresa, precisa de estar envolvido na tomada de decisões empresariais. No entanto, talvez seja melhor ter alguém que saiba o que está a fazer – alguém em quem se possa confiar – a lidar com o lado tecnológico. Uma opção pode ser a sua empresa de hospedagem de websites.
Muitas empresas de hospedagem oferecem pacotes incluindo um certificado SSL, a instalação do certificado que selecciona e 301 configuração de redireccionamento. Isso deixa-lhe apenas uma tarefa técnica, o simples trabalho de alterar os links do seu sítio web para apontar para https em vez de http.
Pode custar-lhe um pouco mais a compra de um pacote. Contudo, o tempo que poupará, e a frustração que evitará, ao entregar o fim técnico do processo à sua empresa de hospedagem compensará mais do que as despesas.
Below é um exemplo das ofertas de certificados https + SSL de uma empresa de hospedagem (SiteGround). Aqui estão algumas coisas a notar:
- Você deve sempre contactar a sua empresa de alojamento web para se certificar de que compreende exactamente o que está incluído. Por exemplo, embora não esteja listado, uma rápida conversa online com o SiteGround confirmou que a configuração dos 301 redireccionamentos foi incluída nos três pacotes.
- Como pode ver, pode usar um certificado SSL fornecido pela empresa de alojamento ou pode usar um certificado adquirido a um fornecedor separado. Isto altera um pouco o preço de cada pacote (como indicado pela linha “Preço do outro fornecedor”). Isto fará mais sentido num pouco.
Como explicado anteriormente, mesmo com alguém a tratar do lado técnico, ainda é necessário tomar as decisões comerciais e compreender, pelo menos a um nível básico, o que está tecnicamente envolvido. Esse é o tópico do resto deste post.
Pronto para começar? Vamos a isso!
Comprar um certificado SSL
Existem duas formas de adquirir um certificado SSL:
- Da sua empresa de hospedagem, ou
- De um fornecedor de certificados SSL.
Embora seja mais fácil simplesmente comprar o certificado à sua empresa de hospedagem (especialmente se fizer parte de um pacote de preço especial), por vezes não oferecem o tipo de certificado de que necessita.
Sim, existem muitos tipos de certificados SSL e deve seleccionar um com base nas suas necessidades comerciais. Abaixo, os diferentes tipos de certificados SSL são agrupados por nível de validação (importante para a comercialização) e depois pelo nível de cobertura. Deve seleccionar um certificado que cumpra os seus objectivos em ambas as áreas o mais próximo possível.
certificados SSL por nível de validação
Quando muda o seu site para https, essa mudança é reflectida no seu navegador para os visitantes do seu site verem. Existem três níveis de validação, cada um fornecendo mais garantias aos seus potenciais clientes do que o seguinte. É por isso que o nível de validação que selecciona é também uma decisão de marketing.
Todos os três níveis fazem aparecer um cadeado fechado na barra de endereços de um navegador, uma indicação de que a ligação com o seu site é segura. Além disso, existem diferenças tanto na informação exibida ao visualizar o certificado num browser como, ao nível mais elevado de validação, também na barra de endereços do browser. Pode ver estas diferenças dentro das imagens incluídas nas descrições de cada nível de validação abaixo.
Tempo e dinheiro são mais dois factores a considerar ao seleccionar o nível de validação do seu certificado: quanto maior for a validação, mais trabalho e mais tempo leva a receber o seu certificado. Isto porque cada passo acima oferece mais validação do proprietário do domínio (ou seja, do seu negócio) do que o passo anterior. Também requer mais papelada na sua parte e mais revisão na parte do emissor. Além disso, quanto mais alto for o nível de validação, mais o certificado SSL custará
IMPORTANTE NOTA: a quantidade de segurança de dados real fornecida é a mesma para os três níveis de validação – a validação adicional é mais um construtor de confiança do cliente do que qualquer outra coisa.
Os três níveis de validação de certificados SSL são:
- Validação de Domínio – O nível básico de validação, certificados SSL validados por domínio, fará com que um navegador Web exiba uma imagem de bloqueio fechado junto ao endereço do sítio Web, demonstrando que o sítio é seguro. Como se mostra abaixo, ao visualizar os detalhes deste tipo de certificado dentro de um navegador, a secção “Nome do assunto” exibe a informação mais básica. Diz a um potencial cliente que, sim, este domínio é seguro. Mas não menciona qual a empresa que assegurou o domínio. E que a falta do nome de uma empresa pode ser um problema de confiança com potenciais clientes. Por exemplo, pode levar a situações em que alguém pode criar um domínio fraudulento (por exemplo, “robowhos.com” em vez de “robowhois.com”) e dados sensíveis do nab daqueles que são capturados pelo ruse.
- Validação da Organização (a.k.a Company Validation) – Quando se obtém um certificado SSL com este segundo nível de validação, o emissor está a confirmar o facto de que a empresa que solicita o certificado é de facto proprietária dos direitos do domínio para o qual o certificado está a ser emitido. Como pode ver abaixo, ao visualizar este tipo de certificado num browser, a secção “Subject Name” apresenta mais detalhes – incluindo o nome da empresa. Este nível extra de detalhe dá garantias aos potenciais clientes de que o site é legítimo e seguro para fazer negócios com.
- Validação Alargada – Os certificados SSL Alargados dão o mais alto nível de garantia de que um site é legítimo e digno de confiança para fazer negócios. Como pode ver abaixo, não só existem mais informações na secção “Subject Name”, como também o nome da empresa é mostrado directamente na barra de endereços do navegador (de facto, em alguns navegadores, toda a barra de endereços fica verde quando o site é visto). Um certificado SSL alargado proclama que a empresa detém os direitos sobre este domínio e cumpre as rígidas normas de revisão necessárias para receber este nível de validação. Isto é que é bom marketing!
SSL Certificates by Coverage Level
Outra forma de agrupar certificados SSL é pelo nível de cobertura que suportam. Os três níveis de cobertura de certificados SSL são:
- Certificados SSL de domínio único – Este tipo de certificado SSL cobrirá apenas um domínio e um domínio. Por exemplo, pode usar um certificado SSL de domínio único para proteger mysmallbusiness.com mas não suportar.mysmallbusiness.com.
- Certificado SSL de domínio único – Este tipo de certificado SSL cobrirá um domínio e todos os subdomínios sob esse domínio. Por exemplo, pode usar um certificado SSL de domínio wildcard para proteger mysmallbusiness.com e support.mysmallbusiness.com e qualquer outro subdomínio.
- Certificados SSL Multi Domínio – Este tipo de certificados SSL pode ser usado para cobrir vários domínios. Por exemplo, pode usar um certificado SSL multi-domínio para proteger tanto mysmallbusiness.com como qualquer outro domínio, digamos myothersmallbusiness.com.
Installing Your SSL Certificate
Installing your SSL certificate on your website entails generating both public and private encryption keys and entering them in the spot correct spot on your Web hosting control panel.
Se não tiver a certeza de como fazer estes passos, tem duas opções:
- Permitir que o seu fornecedor de alojamento o faça por si.
- Procure a secção de apoio do seu fornecedor de alojamento para instruções passo a passo. Se não encontrar nenhuma, basta pegar no telefone e ligar para a sua linha de apoio.
Search Engine Optimization? Sim, Search Engine Optimization
Back no Verão de 2014, Google anunciou que estava a fazer uma pequena alteração no seu algoritmo para impulsionar os sites que utilizam https. O motor de busca também sugeriu que a importância do https no ranking de pesquisa poderia crescer lentamente com o tempo.
Embora as empresas com https não tenham visto um enorme aumento no ranking de pesquisa no Google, nunca é sensato ignorar o gigante da pesquisa. O que significa isto ao mudar de http para https?
Em vez de usar https apenas em partes sensíveis do seu site, pode querer apenas ir em frente e usar https para todo o seu site. Isto não afecta de modo algum a acessibilidade ou desempenho e é uma óptima forma de proteger as suas apostas contra futuras alterações do algoritmo Google.
Mudar os links do seu site
Mudar o texto “http” para “https” em todos os seus links que apontam para outras partes do seu próprio site é provavelmente a única tarefa técnica que precisará de fazer por si próprio.
Se não tiver utilizado ligações relativas (ligações parciais utilizando apenas parte da url inteira de uma página como “/2015/03/update-wordpress.html”) terá de rever todo o conteúdo do seu site para encontrar ligações que apontem para outras partes do seu próprio site. Aproveite esta oportunidade para mudar para ligações relativas em vez de apenas substituir “http” por “https”.
Se estiver a utilizar um sistema de gestão de conteúdos como o WordPress, certifique-se de mudar as ligações permanentes para utilizar https.
Configurar o 301 Redirecciona
Como mencionado acima, o 301 redirecciona tanto os motores de busca de alerta de que os endereços do seu sítio mudaram, como redirecciona qualquer pessoa que tenha marcado uma página no seu sítio automaticamente para o novo endereço https.
É provável que a sua empresa de hospedagem faça esta alteração por si (não se esqueça de perguntar se faz parte do seu pacote), mas se quiser fazê-lo por si próprio, precisa de editar o .htaccess na sua pasta raiz, adicionando:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Conclusão
Se houver uma garantia sobre a mudança de http para https, é que vai ficar confuso em algum momento durante o processo.
Se conseguir evitar a maior parte do trabalho técnico e concentrar-se nas decisões empresariais que precisa de tomar, irá colher benefícios. Esses benefícios incluem uma maior confiança do cliente, uma segurança de dados super-fixada e até uma ligeira hipótese de que o Google classifique o seu site de forma mais elevada.
Secure Site Photo via