O que é Secure Sockets Layer (SSL)?
SSL significa Secure Sockets Layer (camada de soquetes seguros). O protocolo SSL era um protocolo de segurança da Internet projetado para estabelecer uma conexão criptografada entre servidores da Web e clientes. Atualmente, o SSL foi substituído pelo TLS (Transport Layer Security), mas muitas pessoas ainda se referem a essa tecnologia com o acrônimo SSL.
Um certificado SSL inclui uma chave privada e uma chave pública, possibilitando a segurança das transações on-line e a proteção das informações dos clientes.
Às vezes chamada de "handshake SSL", a verificação de segurança começa quando um usuário tenta se conectar a um site protegido por SSL. O navegador solicita que o servidor do site se identifique e recebe uma cópia do certificado SSL. Depois de validar que o certificado SSL é confiável, uma conexão segura é estabelecida, permitindo que dados criptografados passem entre o navegador e o servidor.
Nos navegadores de Internet modernos, você sabe que um site é seguro se o URL na barra de endereços contiver HTTPS. Visualmente, isso é comunicado com um pequeno ícone de cadeado. Você pode clicar nesse símbolo em qualquer site HTTPS para ler o certificado por si mesmo.
Termos comuns relacionados ao SSL
Se você é novo no mundo da segurança na Internet, talvez também esteja confuso com alguns outros termos comuns.
Em resumo, veja como o SSL difere dos termos comuns de segurança na Web, como TLS e HTTPS:
- TLS: Transport Layer Security é o sucessor do SSL. É um protocolo mais avançado para manter a privacidade, a segurança e a autenticidade on-line por meio de certificados.
- HTTP: HyperText Transfer Protocol é a camada de aplicativo original subjacente à Internet em um modelo cliente-servidor. Os sites e URLs HTTP não possuem um certificado seguro.
- HTTPS: HyperText Transfer Protocol Secure é a variante segura do HTTP, que é usada por mais de 79% dos sites, de acordo com o W3Techs.com. Esses sites normalmente usam certificados TLS.
Por que o SSL é importante?
Então, como o SSL afeta o SEO do seu site?
Bem, tecnicamente, o SSL não está envolvido. Agora que o SSL foi descontinuado e substituído pelo TLS, a tecnologia alimenta o HTTPS, a variante segura do HTTP que a maioria dos sites usa.
Em resumo, veja por que o HTTPS é importante para o SEO:
- O HTTPS é um sinal de classificação leve: O Google inclui o HTTPS como um fator de classificação.
- O HTTPS oferece mais segurança e privacidade: Criptografa os dados trocados entre usuários e sites.
- O HTTPS preserva os dados de referência: Garante a precisão dos dados de referência no Google Analytics.
- O HTTPS pode aumentar a velocidade do site quando usado com protocolos modernos: Oferece suporte ao HTTP/2, que pode aumentar a velocidade do site.
Por outro lado, é importante pensar em como a falta de HTTPS pode afetar seu site na pesquisa.
O algoritmo do Google inclui o protocolo HTTPS como um sinal de classificação, o que, em teoria, poderia impulsionar seu site. Mas, considerando o quanto o HTTPS é comum atualmente, o cenário mais provável é que seu site seja prejudicado nos resultados de pesquisa se você não o tiver.
Lembre-se de que o envolvimento do usuário é um sinal importante de classificação, portanto, quando as pessoas clicam no seu site nos resultados de pesquisa, é imperativo que elas permaneçam na página e interajam com ela, em vez de sair imediatamente.
Um site inseguro geralmente exibe um aviso "Não seguro" que pode assustar os usuários que chegam e destruir as métricas de envolvimento do usuário do seu site. Apenas por esse motivo, seu SEO se beneficiará de um certificado TLS.
Práticas recomendadas para certificados TLS/SSL
1. Obtenha seu certificado de uma autoridade de certificação (CA) confiável
O objetivo dos certificados é fornecer segurança confiável para as pessoas que navegam na Web. Para que isso seja possível, você precisará adquirir seu certificado de uma autoridade certificadora autorizada.
Entre as empresas de autoridade de certificação conhecidas estão a Symantec, a GoDaddy, a DigiCert e a GeoTrust. A maioria das CAs de boa reputação também oferece suporte técnico para garantir que você instale o certificado corretamente.
2. Não pague a mais pelo certificado que você não precisa
Há vários tipos de certificados, incluindo DV, OV e EV. A principal diferença está na garantia que você recebe da CA.
- Domínio validado (DV): Requer um esforço mínimo para validação - normalmente, nada mais do que comprovar a propriedade do seu domínio por meio de um e-mail ou telefonema. Essa opção é melhor para blogs ou sites informativos que não precisam coletar muitas informações pessoais dos visitantes.
- Validado pela organização (OV): Projetado para sites comerciais e empresas que coletam e armazenam informações de clientes por meio de seus sites.
- Validação estendida (EV): O tipo de certificado mais extenso e de mais alta classificação exige a verificação da identidade legal da entidade solicitante. É o melhor para sites que exigem muitas informações pessoais confidenciais dos visitantes, especialmente sites médicos ou bancários.
Se você tiver um blog comum, um certificado DV deve ser suficiente.
No entanto, dependendo do número de sites e/ou subdomínios que você deseja cobrir com um único certificado, talvez seja necessário escolher entre um certificado curinga (melhor para v ários subdomínios) e um certificado de nome alternativo de assunto (SAN) (melhor para vários sites).
- Certificado curinga: Projetado para proteger vários subdomínios no mesmo site, o que é mais barato do que comprar um certificado dedicado para cada subdomínio separadamente.
- Certificado SAN: Projetado para proteger vários nomes de domínio ou sites de uma só vez, o que pode economizar muito tempo e dinheiro.
3. Não se esqueça de que os certificados expiram
Os certificados SSL/TLS expiram após 398 dias e devem ser renovados no prazo. A opção de renovação é possível dentro de 30 dias da data de expiração.
Observe que os certificados TLS não se renovam sozinhos, e a consequência de um certificado TLS expirado é que seu site não será mais considerado seguro, o que pode colocar em risco os dados do seu site e as informações dos visitantes.
Fique atento a um e-mail de sua CA e siga as etapas para renovar.
Perguntas frequentes
Os certificados SSL/TLS cobrem subdomínios?
Não. Mesmo os certificados curinga cobrem apenas um nível para subdomínios, portanto, você precisará de outro certificado ou poderá usar um certificado SAN.
Qual é a vida útil máxima do certificado SSL/TLS?
Desde 1º de setembro de 2020, a vida útil máxima de um certificado SSL ou TLS é de 398 dias. Após a expiração, você precisará substituir o certificado expirado.
Posso obter um certificado SSL/TLS gratuitamente?
Sim, você pode. Por exemplo, a LetsEncrypt e a Cloudflare fornecem certificados, mas somente os certificados validados por domínio (DV) são gratuitos. Esse é o tipo mais comum de certificado e é verificado somente pelo nome do domínio.
A maioria dos provedores de hospedagem na Web oferece certificados gratuitos quando você compra a hospedagem deles.