MENU Mário Valney

Como deixar seu site mais seguro com HTTPS (SSL) e CloudFlare

Dicas! 11 de julho de 2016 41 comentários
Dicas!
  • 11 - 07 - 16
  •        
  • 41

E ae galera, hoje venho trazer uma dica muito rápida, mas bem legal: como conseguir um certificado SSL para o seu site totalmente grátis.

O que é um certificado SSL?

O SSL (Secure Sockets Layer) é um protocolo de segurança criado pela Netscape que se tornou padrão internacional. Quando o seu navegador se conecta a um servidor com esse certificado, ele pede de volta um Certificado de Autoridade Certificadora (CA).

Então o certificado SSL é o que certifica que o site é realmente ele mesmo. Aí você acessa o site via o protocolo HTTPS.

O protocolo HTTPS

Não irei falar muito disso, mas se você quiser se aprofundar mais sobre como o seu computador se comunica com o servidor e o protocolo HTTP, recomendo a leitura.

O HTTPS é “a mesma coisa que o HTTP mais o S de Seguro”.

Ele é o HTTP mais a camada de segurança que utiliza o protocolo SSL/TLS, que é o que já falamos ali em cima.

Por que implementar o SSL?

Bem, se a palavra segurança não te convence, há todo um movimento da internet para que, cada vez mais, mais sites deem suporte ao HTTPS. Um exemplo, e o Google que não permite o uso da informação de geolocalização do usuário, se o site não for seguro.

É caro?

Um pouco… algumas empresas como a GoDaddy oferecem a partir de R$ 223,99 por ano, o SSL mais alguns outros recursos de segurança.

A Locaweb oferece o SSL compartilhado grátis, ou seja, um endereço SSL, no qual você pode transitar informações de forma segura, mas não será o seu domínio. Então nada de HTTPS no seu site, a menos que pague por um IP Próprio (20,00 por mês).

Na UOL Host também precisa adquirir o IP Próprio e na Brasil Web Host, além do domínio próprio, o preço é de R$ 99,90 por ano (mais 20,00 do IP Próprio) no SSL COMODO Essential.

Vish…

Pois é… não é algo barato por aqui, mas dependendo do seu negócio (principalmente se for um negócio!) recomendo. E é por isso que trago essa solução super massa da galera da CloudFlare.

Cloudflare

Você já conhece a CloudFlare… E não estou fazendo propaganda, mas é que ela é muito conhecida e provavelmente você já se deparou com algum site com a seguinte página:

cloudflare-down

Né? A CloudFlare é uma empresa americana que fornece uma rede de enrega de conteúdo e serviços de DNS. Ou seja, ela é a intermediária entre o seu usuário e o seu site (cliente e servidor). Com isso ela consegue proteger, acelerar e melhorar a disponibilidade do seu site.

Verificando com a sua hospedagem

Antes de mais nada, você precisa conferir com a sua empresa de hospedagem, se será possível instalar o certificado que a CloudFlare vai te dar. Se você tem um IP Próprio, VPS, Cloud ou servidor Dedicado, provavelmente vai ser possível alterar as configurações do servidor e proceder com a instalação do certificado.

Mas e a minha hospedagem compartilhada?

Se você tem uma hospedagem compartilhada, possivelmente não vai poder instalar o certificado.

No momento em que escrevo esse artigo, eu possuo uma hospedagem compartilhada da Locawebe é por isso que não consegui instalar o certificado nesse site (mas estou usando o CloudFlare mesmo assim, o que me garante uma rede mais segura, estabilidade, caso o servidor pare de responder, um cache bem interessante e mais performance, claro).

Porém, consegui instalar o certificado normalmente em uma Revenda (também da Locaweb) de um amigo.

A Hostgator me informou que permite a instalação na Hospedagem Compartilhada, mas essa deve ser feita via solicitação por formulário (o que inclui uma taxa de R$ 60,00).

A Brasil Web Host, informou que eu precisaria de um VPS para proceder com a instalação.

E não pesquisei mais… hahaha

CloudFlare com WordPress

A CloudFlare possui um plugin para WordPress que você deve usar para integrar com o seu cadastro.

Criando o certificado

Depois de feito o login no CloudFlare e adicionado seu site (é bem simples, não vou ensinar, desculpe), você vai na aba Crypto:

cloudflare-menu

Em SSL, vai estar a opção Flexible:

cloudflare-ssl-option

Pois você ainda não ativou seu certificado. Após tudo OK, mude para Full, que é a opção recomendada para SSL.

Desça até Origin Certificates:

cloudflare-origin-certificate

Clique em Create Certificate e na janela que vai se abrir, confira se seu domínio está listado (já deve vir por padrão). Escolha também a validade do certificado (recomendo manter os 15 anos) e depois em Next.

Na próxima janela, você escolhe o formato da Key (eu mantive o padrão PEM) e copia tanto o certificado quanto a chave.

Eu copiei só o texto, pois na hora de instalar pode ser só o texto, se você for por algum painel como cPanel ou Plesk.

Logo abaixo de tudo, você pode selecionar o tipo de servidor e clicar no link “Read instructions for this server type”. Vai ter tudo explicado (em inglês) lá.

Conclusão

Seguindo essa dica, você vai conseguir dar um pouco mais de segurança ao seu usuário e a si próprio. Além de aumentar a confiabilidade do seu negócio e desfrutar das funcionalidades do CloudFlare (lembrando que estou falando do plano gratuito, há outros pagos) .

Só lembrando que os preços citados são da data de publicação (julho de 2016) e que não tenho vínculo com nenhuma das empresas citadas. Não estou ganhando nada: a ideia é compartilhar essa dica para quem está cuidando do site do próprio negócio e não conhecia essa empresa.

Não esqueçam de, se estiverem no WordPress, seguir o checklist de segurança, instalar um plugin de cache, o JetPack (um dia falo dele, ou não…) e configurar tudo direitinho, porque o WordPress é seguro! Inseguro é você (parafraseei o concorrente… hahahaha). Curtam e compartilhem, por favor! :)

Por favor, considere desativar o AdBlock

Não perca nenhuma novidade, assinando nossa newsletter!



Não se preoculpe, não enviaremos muitos e-mails, nem mostraremos seu e-mail para ninguém. Dúvidas?


Deixe seu comentário! Dúvida sobre como comentar
ou vai postar código? Leia antes.

  • marlise

    Olá Mário,
    Bacana o post mas confesso que fiquei com uma dúvida. Meu blog está hospedado no hostgator.com, entrei em contato com eles e, eles disseram que tem que solicitar via formulário, como você mencionou e que a taxa é de 10 dólares. Nada mal tendo em vista que se eu comprar deles vou ter que pagar 40. Bom, fui checar então o Cloudflare e, ao tentar registrar meu site, ele pede p alterar o domínio.(ex: disso ns841.hostgator.com p/ alexis.ns.cloudflare.com). Isto tem que ser feito mesmo ou eu estou fazendo algo errado? Você pode me dar uma ajuda?
    Obrigada,
    Marlise

    • Legal, Marlise!
      Obrigado por ler meu site.

      Sobre sua pergunta: sim! O que o Cloudflare pede é a mudança do DNS do domínio.
      Ou seja, seu domínio não vai apontar mais para seu servidor, ele vai apontar para os servidores do Cloudflare que irão redirecionar para o seu. Então pode fazer isso tranquilamente.

      Mas lembre: é importante mudar o DNS, só depois de o Cloudflare já ter escaneado o domínio (durante o processo de configuração, que você já fez, pois aí ele irá “ler” as entradas DNS que estão lá e você não precisará fazer mais nada, além de apenas mudar para os DNS que ele pediu.

      Espero ter ajudado. Abraços.

      • marlise

        Obrigada pela respostas!
        Sim, na verdade ele pede p/ alterar o dominio só depois. Só mais uma coisa. Depois que ele faz o scan, aparece várias configurações. É preciso alterar alguma coisa?

        • Que eu lembre agora, além do que falei no post, não… mas dar uma lida para entender um pouco de cada uma é sempre interessante: o Cloudflare tem bem mais funcionalidades do que o SSL.

          Lembrando que demora um pouco para propagar a mudança do DNS, então não precisa sair configurando tudo correndo… hahaha :)

          • Marlise

            É preciso esperar a propagação ser finalizada para fazer criar o certificado? No meu caso, como fiz agora a adição do site e a alteração do DNS, o status está Pendente.

            • Não necessariamente, mas como tudo só vai funcionar depois de propagar, não há motivos para correr… hahaha

          • Marlise

            Olá Mário,
            Estou com duas dúvidas. A primeira é que o Hostgator me passou a informação de que todos os planos dele trabalham com o servidor “CentOS Linux x86, which is identical to Red Hat Enterprise Linux.” que não consta na lista do Cloudflare. Ok, selecionei a opção que corresponde a isto. Está correto?

            Aí fui preencher o formulário do Hostgator e ele pede o Certificado SSL de o Certificado SSL CA. Eles são o primeiro e o segundo arquivos que salvei no passo anterior, ou seja, OriginCertificate e Private Key?

            E última coisa. O Hostgator diz que depois que você solicitar a instalação, você terá que mandar uma informação p CloudFlare e este terá que devolver outra p Hostgator. Não tenho ideia como farei isto. Vc tem?

            Desculpa tantas perguntas mas como o processo não é tãooooo simples quanto o seu post. ;-)

            Obrigada
            Marlise

            • “CentOS Linux x86” é o Sistema Operacional. Aquela lista do Cloudflare é do tipo de servidor, se não me engano. O seu seria Apache, provavelmente.

              Sobre as outras perguntas, é melhor você perguntar para o seu suporte (afinal você está pagando eles, né? hahaha) porque, todos os painéis que vi solicitavam claramente o certificado (arquivo .pem ou outra extensão que você escolheu) e a chave ou key (extensão ,key). Então é melhor perguntar para o Hostgator se são esses arquivos que eles querem.

              Sobre essa informação para o CloudFlare, não sei o que seria… pergunta para o Hostgator que informação é essa, pois o CloudFlare já tem o que precisa: o DNS, então já passa por lá a conexão.

              Não se preocupe quanto as peguntas, mas é que pelo visto, o Hostgator complica as coisas… hahaha

              Abraços e boa sorte

              • marlise

                O CloudFlare gera algum arquivo Zip?

                • Não. Mas você pode usar qualquer programa de compactação, como o Winrar, para gerar zips

                  • Marlise Vidal

                    Olá Mário,

                    Voltei p te dar um feedback. De fato é possível instalar o CloudFare no Hostgator (inclusive no compartilhado). E pasme, é mais barato no Hostgator americano (10 dólares) do que no no Brasileiros (60 reais). Tive um problema pq eles me disseram que faltava algo relacionado com o cloudflare ca bundle certificate authority. Pesquisei e achei a solução neste site: https://www.digitalcandy.agency/website-tips/cloudflare-origin-ca-free-ssl-installation-on-godaddy/
                    O único problema agora e eu não sei como resolver (achei que era automático) é que o https existe mas o meu site, no caso vistosedicasdeviagem.com não redireciona p ele. Ou seja, consigo visualizar tanto o http quanto o https. Vc sabe a solução?
                    Será qu preciso adicioná-lo ao Google webmaster?
                    Outra dúvida que não tem no seu guia. É preciso mudar o SSl no CloudFare para Fully (Strict)?
                    Obrigada mais uma vez!
                    Marlise

                    • Olá, Marlise.

                      Que bom que deu tudo certo.

                      Sobre o HTTPS do seu site, é responsabilidade sua fazer os redirecionamentos necessários. No meu caso, como eu tenho gerencia do meu servidor, eu adicionei um VirtualHost para redirecionar tudo que entre pela porta 80 (HTTP) para a porta 443 (HTTPS).

                      Caso você não tenha como fazer isso, ou o painel não permita, uma forma é usando o .htaccess, que você encontra facilmente pesquisando por “redirect http to https” no Google.

                      Além disso, se o seu site for WordPress, você também deve mudar a URL da Home e do Site para o https.

                      Sobre a opção de SSL do CloudFlare, eu deixei Full, mas recomendo sempre dar uma lida no “Help” que tem lá para entender cada opção.

                      Abraços

                    • Thoth

                      Estou com o mesmo problema. Você conseguiu resolver? Porque a dica de editar o .htaccess não funcionou para mim, me é dada a mensagem que o redirecionamento é inválido.

                    • Thoth, verifica com a galera da sua hospedagem se está habilitado o .htaccess.
                      Em algumas hospedagem ele fica desabilitado ou nem é usado.

                      Abraços

                    • Thoth

                      Obrigado por sua resposta, Mario. Esta habilitado o uso do arquivo .htaccess sim, e outros códigos que uso, como o para ocultar a extensão .html funcionam normalmente. Minha hospedagem é na GoDaddy. Tem alguma sugestão?

                    • Dá uma procurada por outros exemplos de redirecionamento com o .htaccess e tenta novamente.

  • Luiz Henrique

    Este certificado gerado pela CloudFlare poderia ser usado para loja online?

  • Olá Mário, vi que você mencionou que seu site tem um plano compartilhado da locaweb e percebi que agora você instalou o certificado digital nele.

    Você conseguiu enfim, instalar o certificado digital na hospedagem compartilhada da locaweb (sem a contratação do IP exclusivo) ou mudou de hospedagem?

    • Opa, tudo bem Marcus?

      Não. Mudei para a Amazon (que possui 1 ano grátis).

  • Guilherme Barbeiro

    Acabei de instalar na minha hospedagem da LOUCAWEB que é compartilhada o Cloudflare. Está funcionando tudo certo, inclusive Checkout transparente.
    Site está em construção ainda, mas se quiserem ver [LINK REMOVIDO]
    E pessoal, não se esqueçam de alterar no Google Analytics os links para HTTPS://

    • Qual plano da Locaweb tem CloudFlare compartilhado?
      Que eu saiba ele tem o SSL compartilhado que é no formato https://login-cliente.websiteseguro.com

      Abração

      P.S.: Removi o link pois não era pedido de ajuda então acabava sendo apenas divulgação.

      • Guilherme Barbeiro

        Ok desculpa pelo link, era pro pessoal ver que esta com HTTPS somente.
        Eu solicitei para a Locaweb a instalação do certificado. Tenho IP Adicional, eles instalaram normal, enviei as chaves para eles do Cloudflare.
        Site esta normal com ssl em todo site…Pelo que pesquisei nao era possivel por ser compartilhado, inclusive o pessoal da Locaweb disse isso, mas ta instalado…

  • Photon Up Studio

    olá Mário, encontrei somente um problema, não entendi sobre copiar o código, e aonde coloca lo no cpanel, por exemplo: digitei no navegador o seu Site (por sinal show de bola) e apareceu seguro, o meu não, de repente pode ser o que???

    • Nem todo servidor redireciona para o HTTPS, precisa fazê-lo.
      Além disso, precisa seguir todas as orientações para instalação do certificado, de acordo com seu servidor.

      Abraços

  • Fernando

    Olá amigo. Fiz o processo do https e deu certo porém os e-mails do site pararam de funcionar. Uso um aliás dos emails do site conta gmail. No roundcube o e-mail funciona. Já no gmail o e-mail cadastrado dentro dele, não. O que pode ser? Tem um tutorial para configurar? Obrigado pela ajuda

    • Olá, tudo bem?

      Se você fez o processo, provavelmente o DNS do seu domínio está apontando para a CloudFlare.
      Agora você precisa conferir se as zonas DNS antigas estão reproduzidas lá no CloudFlare e se o mail/email/webmail está direto (la nas opções de DNS do CloudFlare).

      Abraços

      • Fernando

        Oi Mario, obrigado pelo retorno.
        Consegui corrigir o problema. Precisava deletar o CNAME mail e criar uma entrada A com mail.dominio.com.br prioridade 0, incluir uma entrada MX.

        Feito isso o gmail voltou a funcionar :)

        Porem estou com outro problema na mesma conta:
        O site está com https, até chega a carregar o cadeado verde porem ele muda para um sinal amarelo de alerta, ao invés do de manter o cadeado verde. Usei a configuração Flexible, se colocar Full, o site dá erro de pagina 404.

        Fiz todo o processo como em outros sites que funcionam (inclusive com o SSL em Flexible).
        Não sei o que pode ser. Uso o pushcrew para notificações, zopim e a hellobar, seria isso?

        O site também tem um blog que estava com mesmo problema. Removi o blog da configuração do cloudflare para evitar que ele possa causar algum conflito com o site principal.

        voce sabe o que posso fazer?
        obrigado

        • Olá Fernando, tudo bem?

          Você já clicou no cadeado amarelo ou leu alguma mensagem que aparece nele?

          • Fernando

            Oi Mario tudo bom?
            Consegui achar a solução.

            O problema estava acontecendo pois a página possui um formulario de contato em cgi que direcionava para uma página de sucesso (sua msg foi recebida com sucesso) com o link em http. Eu mudei o http para https e o sinal amarelo de alerta se tornou em cadeado verde.

            Creio que SSL estava vendo que aquele link tornava o site nao totalmente seguro, com alguma brecha, uma vez trocado para https ele reconheceu a pagina como seguro em sua totalidade.

            :)

            • Massa! É justamente isso que o cadeado amarelo significa.

              Abraços :D

              • Fernando

                Valeu.
                No entanto, antes de ter que alterar manualmente, tentei usar soluções de htacess e reescrever http para https com a opçao que o proprio cloudflare fornece e nenhuma delas deram certo. O que achei estranho… porque sera?

                • Esse é um aviso do navegador. Então imagino que ele usa o HTML da página independente de você redirecionar ou não.

                  • Fernando

                    Sim, mas o que comentei é que para o aviso sumir e o cadeado verde aparecer eu precisei alterar o html da pagina via codigo, sendo que na internet há varios codigos para incluir no htacess para direcionar http para https e nenhum funcionou. Ou seja, só alterando o codigo da pagina de fato para funcionar.

                    • Isso. Como eu disse: é um aviso do navegador, que usa o HTML (código) da página e isso é independente dos redirecionamentos, seja quais forem.

  • Joao Coimbra

    oi Mario..

    Deu uma olhada na Weblink que é onde eu hospedo meu site e la eles tem o Plano Ouro que o certificado SSL e a instalação sai sem custo por um preço em torno de 24 reais.
    Indico eles sempre que me pergunto, preco deles é bem mais em conta e o suporte técnico é muito bom.

    Espero ter ajudado. Abs!

  • Plebeia com Estilo

    Olá, Mário!

    Gostaria de saber se é possível usar o SSL sem que eu tenha uma hospedagem?

    Abraço!

  • Nelson Carvalho Nelson Carvalh

    Gostei muito deste artigo e com os diversos questionamentos feitos pelos usuários, os quais são muito úteis e evitam a repetição de perguntas e permitem esclarecimentos adicionais.

    • Que ótimo Nelson! Obrigado pela leitura.
      Abraços