MENU It's me: Mário!

lege

Como deixar seu site mais seguro com HTTPS (SSL) e CloudFlare

Dicas! 11 de julho de 2016 21 comentários
Dicas!
  • 11 - 07 - 16
  •        
  • 21

E ae galera, hoje venho trazer uma dica muito rápida, mas bem legal: como conseguir um certificado SSL para o seu site totalmente grátis.

O que é um certificado SSL?

O SSL (Secure Sockets Layer) é um protocolo de segurança criado pela Netscape que se tornou padrão internacional. Quando o seu navegador se conecta a um servidor com esse certificado, ele pede de volta um Certificado de Autoridade Certificadora (CA).

Então o certificado SSL é o que certifica que o site é realmente ele mesmo. Aí você acessa o site via o protocolo HTTPS.

O protocolo HTTPS

Não irei falar muito disso, mas se você quiser se aprofundar mais sobre como o seu computador se comunica com o servidor e o protocolo HTTP, recomendo a leitura.

O HTTPS é “a mesma coisa que o HTTP mais o S de Seguro”.

Ele é o HTTP mais a camada de segurança que utiliza o protocolo SSL/TLS, que é o que já falamos ali em cima.

Por que implementar o SSL?

Bem, se a palavra segurança não te convence, há todo um movimento da internet para que, cada vez mais, mais sites deem suporte ao HTTPS. Um exemplo, e o Google que não permite o uso da informação de geolocalização do usuário, se o site não for seguro.

É caro?

Um pouco… algumas empresas como a GoDaddy oferecem a partir de R$ 223,99 por ano, o SSL mais alguns outros recursos de segurança.

A Locaweb oferece o SSL compartilhado grátis, ou seja, um endereço SSL, no qual você pode transitar informações de forma segura, mas não será o seu domínio. Então nada de HTTPS no seu site, a menos que pague por um IP Próprio (20,00 por mês).

Na UOL Host também precisa adquirir o IP Próprio e na Brasil Web Host, além do domínio próprio, o preço é de R$ 99,90 por ano (mais 20,00 do IP Próprio) no SSL COMODO Essential.

Vish…

Pois é… não é algo barato por aqui, mas dependendo do seu negócio (principalmente se for um negócio!) recomendo. E é por isso que trago essa solução super massa da galera da CloudFlare.

Cloudflare

Você já conhece a CloudFlare… E não estou fazendo propaganda, mas é que ela é muito conhecida e provavelmente você já se deparou com algum site com a seguinte página:

cloudflare-down

Né? A CloudFlare é uma empresa americana que fornece uma rede de enrega de conteúdo e serviços de DNS. Ou seja, ela é a intermediária entre o seu usuário e o seu site (cliente e servidor). Com isso ela consegue proteger, acelerar e melhorar a disponibilidade do seu site.

Verificando com a sua hospedagem

Antes de mais nada, você precisa conferir com a sua empresa de hospedagem, se será possível instalar o certificado que a CloudFlare vai te dar. Se você tem um IP Próprio, VPS, Cloud ou servidor Dedicado, provavelmente vai ser possível alterar as configurações do servidor e proceder com a instalação do certificado.

Mas e a minha hospedagem compartilhada?

Se você tem uma hospedagem compartilhada, possivelmente não vai poder instalar o certificado.

No momento em que escrevo esse artigo, eu possuo uma hospedagem compartilhada da Locawebe é por isso que não consegui instalar o certificado nesse site (mas estou usando o CloudFlare mesmo assim, o que me garante uma rede mais segura, estabilidade, caso o servidor pare de responder, um cache bem interessante e mais performance, claro).

Porém, consegui instalar o certificado normalmente em uma Revenda (também da Locaweb) de um amigo.

A Hostgator me informou que permite a instalação na Hospedagem Compartilhada, mas essa deve ser feita via solicitação por formulário (o que inclui uma taxa de R$ 60,00).

A Brasil Web Host, informou que eu precisaria de um VPS para proceder com a instalação.

E não pesquisei mais… hahaha

CloudFlare com WordPress

A CloudFlare possui um plugin para WordPress que você deve usar para integrar com o seu cadastro.

Criando o certificado

Depois de feito o login no CloudFlare e adicionado seu site (é bem simples, não vou ensinar, desculpe), você vai na aba Crypto:

cloudflare-menu

Em SSL, vai estar a opção Flexible:

cloudflare-ssl-option

Pois você ainda não ativou seu certificado. Após tudo OK, mude para Full, que é a opção recomendada para SSL.

Desça até Origin Certificates:

cloudflare-origin-certificate

Clique em Create Certificate e na janela que vai se abrir, confira se seu domínio está listado (já deve vir por padrão). Escolha também a validade do certificado (recomendo manter os 15 anos) e depois em Next.

Na próxima janela, você escolhe o formato da Key (eu mantive o padrão PEM) e copia tanto o certificado quanto a chave.

Eu copiei só o texto, pois na hora de instalar pode ser só o texto, se você for por algum painel como cPanel ou Plesk.

Logo abaixo de tudo, você pode selecionar o tipo de servidor e clicar no link “Read instructions for this server type”. Vai ter tudo explicado (em inglês) lá.

Conclusão

Seguindo essa dica, você vai conseguir dar um pouco mais de segurança ao seu usuário e a si próprio. Além de aumentar a confiabilidade do seu negócio e desfrutar das funcionalidades do CloudFlare (lembrando que estou falando do plano gratuito, há outros pagos) .

Só lembrando que os preços citados são da data de publicação (julho de 2016) e que não tenho vínculo com nenhuma das empresas citadas. Não estou ganhando nada: a ideia é compartilhar essa dica para quem está cuidando do site do próprio negócio e não conhecia essa empresa.

Não esqueçam de, se estiverem no WordPress, seguir o checklist de segurança, instalar um plugin de cache, o JetPack (um dia falo dele, ou não…) e configurar tudo direitinho, porque o WordPress é seguro! Inseguro é você (parafraseei o concorrente… hahahaha). Curtam e compartilhem, por favor! :)

Por favor, considere desativar o AdBlock

Não perca nenhuma novidade, assinando nossa newsletter!



Não se preoculpe, não enviaremos muitos e-mails, nem mostraremos seu e-mail para ninguém. Dúvidas?


Deixe seu comentário! Dúvida sobre como comentar
ou vai postar código? Leia antes.

  • marlise

    Olá Mário,
    Bacana o post mas confesso que fiquei com uma dúvida. Meu blog está hospedado no hostgator.com, entrei em contato com eles e, eles disseram que tem que solicitar via formulário, como você mencionou e que a taxa é de 10 dólares. Nada mal tendo em vista que se eu comprar deles vou ter que pagar 40. Bom, fui checar então o Cloudflare e, ao tentar registrar meu site, ele pede p alterar o domínio.(ex: disso ns841.hostgator.com p/ alexis.ns.cloudflare.com). Isto tem que ser feito mesmo ou eu estou fazendo algo errado? Você pode me dar uma ajuda?
    Obrigada,
    Marlise

    • Legal, Marlise!
      Obrigado por ler meu site.

      Sobre sua pergunta: sim! O que o Cloudflare pede é a mudança do DNS do domínio.
      Ou seja, seu domínio não vai apontar mais para seu servidor, ele vai apontar para os servidores do Cloudflare que irão redirecionar para o seu. Então pode fazer isso tranquilamente.

      Mas lembre: é importante mudar o DNS, só depois de o Cloudflare já ter escaneado o domínio (durante o processo de configuração, que você já fez, pois aí ele irá “ler” as entradas DNS que estão lá e você não precisará fazer mais nada, além de apenas mudar para os DNS que ele pediu.

      Espero ter ajudado. Abraços.

      • marlise

        Obrigada pela respostas!
        Sim, na verdade ele pede p/ alterar o dominio só depois. Só mais uma coisa. Depois que ele faz o scan, aparece várias configurações. É preciso alterar alguma coisa?

        • Que eu lembre agora, além do que falei no post, não… mas dar uma lida para entender um pouco de cada uma é sempre interessante: o Cloudflare tem bem mais funcionalidades do que o SSL.

          Lembrando que demora um pouco para propagar a mudança do DNS, então não precisa sair configurando tudo correndo… hahaha :)

          • Marlise

            É preciso esperar a propagação ser finalizada para fazer criar o certificado? No meu caso, como fiz agora a adição do site e a alteração do DNS, o status está Pendente.

            • Não necessariamente, mas como tudo só vai funcionar depois de propagar, não há motivos para correr… hahaha

          • Marlise

            Olá Mário,
            Estou com duas dúvidas. A primeira é que o Hostgator me passou a informação de que todos os planos dele trabalham com o servidor “CentOS Linux x86, which is identical to Red Hat Enterprise Linux.” que não consta na lista do Cloudflare. Ok, selecionei a opção que corresponde a isto. Está correto?

            Aí fui preencher o formulário do Hostgator e ele pede o Certificado SSL de o Certificado SSL CA. Eles são o primeiro e o segundo arquivos que salvei no passo anterior, ou seja, OriginCertificate e Private Key?

            E última coisa. O Hostgator diz que depois que você solicitar a instalação, você terá que mandar uma informação p CloudFlare e este terá que devolver outra p Hostgator. Não tenho ideia como farei isto. Vc tem?

            Desculpa tantas perguntas mas como o processo não é tãooooo simples quanto o seu post. ;-)

            Obrigada
            Marlise

            • “CentOS Linux x86” é o Sistema Operacional. Aquela lista do Cloudflare é do tipo de servidor, se não me engano. O seu seria Apache, provavelmente.

              Sobre as outras perguntas, é melhor você perguntar para o seu suporte (afinal você está pagando eles, né? hahaha) porque, todos os painéis que vi solicitavam claramente o certificado (arquivo .pem ou outra extensão que você escolheu) e a chave ou key (extensão ,key). Então é melhor perguntar para o Hostgator se são esses arquivos que eles querem.

              Sobre essa informação para o CloudFlare, não sei o que seria… pergunta para o Hostgator que informação é essa, pois o CloudFlare já tem o que precisa: o DNS, então já passa por lá a conexão.

              Não se preocupe quanto as peguntas, mas é que pelo visto, o Hostgator complica as coisas… hahaha

              Abraços e boa sorte

              • marlise

                O CloudFlare gera algum arquivo Zip?

                • Não. Mas você pode usar qualquer programa de compactação, como o Winrar, para gerar zips

                  • Marlise Vidal

                    Olá Mário,

                    Voltei p te dar um feedback. De fato é possível instalar o CloudFare no Hostgator (inclusive no compartilhado). E pasme, é mais barato no Hostgator americano (10 dólares) do que no no Brasileiros (60 reais). Tive um problema pq eles me disseram que faltava algo relacionado com o cloudflare ca bundle certificate authority. Pesquisei e achei a solução neste site: https://www.digitalcandy.agency/website-tips/cloudflare-origin-ca-free-ssl-installation-on-godaddy/
                    O único problema agora e eu não sei como resolver (achei que era automático) é que o https existe mas o meu site, no caso vistosedicasdeviagem.com não redireciona p ele. Ou seja, consigo visualizar tanto o http quanto o https. Vc sabe a solução?
                    Será qu preciso adicioná-lo ao Google webmaster?
                    Outra dúvida que não tem no seu guia. É preciso mudar o SSl no CloudFare para Fully (Strict)?
                    Obrigada mais uma vez!
                    Marlise

                    • Olá, Marlise.

                      Que bom que deu tudo certo.

                      Sobre o HTTPS do seu site, é responsabilidade sua fazer os redirecionamentos necessários. No meu caso, como eu tenho gerencia do meu servidor, eu adicionei um VirtualHost para redirecionar tudo que entre pela porta 80 (HTTP) para a porta 443 (HTTPS).

                      Caso você não tenha como fazer isso, ou o painel não permita, uma forma é usando o .htaccess, que você encontra facilmente pesquisando por “redirect http to https” no Google.

                      Além disso, se o seu site for WordPress, você também deve mudar a URL da Home e do Site para o https.

                      Sobre a opção de SSL do CloudFlare, eu deixei Full, mas recomendo sempre dar uma lida no “Help” que tem lá para entender cada opção.

                      Abraços

  • Luiz Henrique

    Este certificado gerado pela CloudFlare poderia ser usado para loja online?

  • Olá Mário, vi que você mencionou que seu site tem um plano compartilhado da locaweb e percebi que agora você instalou o certificado digital nele.

    Você conseguiu enfim, instalar o certificado digital na hospedagem compartilhada da locaweb (sem a contratação do IP exclusivo) ou mudou de hospedagem?

    • Opa, tudo bem Marcus?

      Não. Mudei para a Amazon (que possui 1 ano grátis).

  • Guilherme Barbeiro

    Acabei de instalar na minha hospedagem da LOUCAWEB que é compartilhada o Cloudflare. Está funcionando tudo certo, inclusive Checkout transparente.
    Site está em construção ainda, mas se quiserem ver [LINK REMOVIDO]
    E pessoal, não se esqueçam de alterar no Google Analytics os links para HTTPS://

    • Qual plano da Locaweb tem CloudFlare compartilhado?
      Que eu saiba ele tem o SSL compartilhado que é no formato https://login-cliente.websiteseguro.com

      Abração

      P.S.: Removi o link pois não era pedido de ajuda então acabava sendo apenas divulgação.

      • Guilherme Barbeiro

        Ok desculpa pelo link, era pro pessoal ver que esta com HTTPS somente.
        Eu solicitei para a Locaweb a instalação do certificado. Tenho IP Adicional, eles instalaram normal, enviei as chaves para eles do Cloudflare.
        Site esta normal com ssl em todo site…Pelo que pesquisei nao era possivel por ser compartilhado, inclusive o pessoal da Locaweb disse isso, mas ta instalado…