Acabaram as desculpas para não ter um certificado SSL em seu site. Gratuito e fácil de instalar, o Let’s Encrypt vem conquistando cada vez mais adeptos. Até o momento, mais de 50 milhões de websites já possuem certificados ativos gerados pelo Let’s Encrypt. Em adição, o Google divulgou, em meados de 2018, que 96% dos usuários do navegador Chrome acessam sites que utilizam o protocolo criptografado HTTPS — número que se manteve próximo disso posteriormente.
O Let’s Encrypt foi criado pelo ISRG (Internet Security Reasearch Group), organização sem fins lucrativos que tem como missão reduzir as barreiras financeiras, tecnológicas e educacionais para uma comunicação segura através da internet. Seguindo esse ideal, o certificado Let’s Encrypt foi criado com o objetivo de democratizar o acesso aos certificados SSL e melhorar a segurança da internet como um todo.
Acompanhe-nos neste artigo e entenda o que é o certificado Let’s Encrypt e por que você deveria utilizá-lo agora mesmo em seu site.
O que é o certificado Let’s Encrypt
Let’s Encrypt é uma autoridade para emissão de certificados gratuitos e automáticos, que funciona exclusivamente para benefício público. A ferramenta emite o certificado digital necessário para que qualquer pessoa possa habilitar o protocolo HTTPS em seu(s) website(s).
A emissão do certificado Let’s Encrypt é feita da maneira mais simples possível, através de um processo automatizado. Muitas empresas de hospedagem já estão integrando o Let’s Encrypt no painel de controle da hospedagem, o que permite que o certificado seja gerado e instalado com poucos cliques e com pouquíssima interação humana.
Os princípios que regem o Let’s Encrypt são:
- Gratuito: Qualquer pessoa que possui um domínio pode obter um certificado SSL a custo zero.
- Automático: Ao ser instalado no servidor de hospedagem, a emissão, configuração e renovação são feitas de forma automática.
- Seguro: O Let’s Encrypt serve como uma plataforma para as melhores práticas de segurança TLS avançada, tanto pelo lado do emissor do certificado quanto pelos administradores dos websites.
- Transparente: Todos os certificados publicados ou revogados pelo Let’s Encrypt estão disponíveis publicamente e podem ser verificados por qualquer pessoa.
- Aberto: O protocolo de publicação e renovação é publicado com padrões abertos, que outros poderão adotar.
- Cooperativo: O Let’s Encrypt é um esforço conjunto para beneficiar a comunidade, e está acima do controle de qualquer organização.
Para saber mais sobre os princípios que regem o Let’s Encrypt, acesse a página Sobre (About), do Let’s Encrypt (em inglês).
Sobre certificados SSL
SSL, ou Secure Sockets Layer, é um protocolo de troca de dados criptografados, que possui como objetivo manter em segurança as informações que circulam em uma rede de computadores, como a internet, por exemplo. De maneira simplificada, ao solicitar uma página na internet, as informações são criptografadas e enviadas até seu destinatário, e somente no seu destino poderão ser decodificadas. Assim, caso esse pacote de dados seja interceptado por um hacker ou outro tipo de pessoa mal-intencionada, os dados não poderão ser lidos e/ou modificados.
Para identificar um site que possui um certificado SSL, basta procurar um cadeado verde próximo ao endereço da página em questão, conforme a imagem abaixo.
A adesão ao Let’s Encrypt vem crescendo exponencialmente
Desde o seu lançamento, em 2015, até hoje, o Let’s Encrypt já emitiu mais de 1 bilhão de certificados (em fevereiro de 2020), estando presente em mais de 100 milhões de sites, o que representa um crescimento impressionante para uma ferramenta tão nova.
Este crescimento pode ser explicado pelo fato do certificado ser gratuito e eficaz, e também por grandes empresas, como o Google, estarem adotando mudanças que estimulam a adoção desta camada de segurança pelos proprietários e administradores de sites. Veremos mais sobre isso adiante neste artigo.
A democratização do SSL
Não faz muito tempo, obter um certificado SSL era um processo caro e complicado. Além de ter que pagar uma boa grana pelo certificado, muitas vezes também era necessário pagar por um IP dedicado, para que o certificado pudesse ser instalado em um servidor compartilhado. Assim, você poderia gastar tranquilamente mais de R$ 300 por ano para obter e instalar um certificado SSL em seu site. Valor semelhante é desembolsado na renovação do mesmo.
Dessa forma, mesmo sabendo da importância de possuir um certificado para o seu site, muita gente não o fazia, devido ao alto custo e complexidade. Nesse sentido, o Let’s Encrypt democratizou o uso do protocolo HTTPS, uma vez que emite e renova certificados SSL de maneira completamente gratuita.
Por que você deveria usar SSL em seu site
A internet como um todo está fazendo um grande esforço para tornar-se mais segura. E parece que este é um movimento que não vai acabar até que todos os sites tenham SSL.
Para melhorar seu posicionamento no Google
Em 2014, o Google anunciou que um site com certificado SSL leva vantagem nas páginas de resultado de busca, em comparação com sites que não possuem tal item de segurança. Lembrando que o Google leva em consideração mais de 200 fatores para ranquear um site em suas buscas (o SSL é um deles).
O navegador Google Chrome, desde janeiro de 2017, vem exibindo um aviso em páginas que contenham formulários de login ou de cartão de crédito. O aviso na barra de navegação alerta os usuários que aquela página não possui uma conexão segura e que os dados transmitidos desta maneira estão em risco. Atualmente, o Chrome exibe um aviso de site não seguro quando o mesmo utiliza HTTP (ou seja, em sites que não possuem o certificado SSL configurado). O aviso é similar ao exibido abaixo:
Porque novos recursos do WordPress dependerão de SSL
Seguindo o mesmo princípio, o criador do WordPress, Matt Mullenweg, publicou um post anunciando que alguns dos novos recursos do WordPress só serão compatíveis com sites que utilizam o protocolo HTTPS. Segundo ele, assim como o Javascript é uma necessidade para uma melhor experiência do usuário, e versões mais modernas do PHP são fundamentais para um bom desempenho, o SSL é a próxima barreira que os usuários da plataforma deverão superar.
Neste mesmo post, Matt cita o Let’s Encrypt com sendo um projeto de incrível sucesso e algo que todo provedor de hospedagem deveria oferecer por padrão. Alguns meses antes, em agosto de 2016, todos usuários do WordPress.com foram presenteados com o uso do HTTPS em todos os sites publicados na plataforma WordPress.com. A mudança foi automática, ou seja, nenhuma intervenção do usuário foi necessária para gerar o certificado SSL e ativar o protocolo HTTPS.
Diante destes fatos, podemos concluir que possuir um certificado SSL ativo em seu site será algo mandatório, em um futuro muito breve. Não será possível escapar! 😉
Como funciona o certificado Let’s Encrypt
Para gerar um certificado SSL, apenas duas condições são necessárias: um servidor de hospedagem e um domínio. Ao iniciar o processo de geração do certificado, o script do Let’s Encrypt realiza uma série de tarefas para verificar a autenticidade do domínio e gerar o certificado.
Além da verificação do domínio, o script também gera um par de chaves – pública e privada, que será utilizada como base para criptografar e descriptografar as requisições HTTP. Juntamente com a validação do domínio, o script gera caracteres aleatórios que serão criptografados e descriptografados como teste, para verificar se as chaves estão corretas.
Esse processo leva apenas alguns minutos. E se tudo funcionar corretamente, o certificado é emitido e instalado no servidor.
Para saber mais sobre os detalhes técnicos que envolvem o funcionamento do Let’s Encrypt, visite esta página (em inglês).
Como obter um certificado SSL com o Let’s Encrypt
Existem algumas maneiras de se obter um certificado emitido pelo Let’s Encrypt, mas basicamente, os métodos se dividem em duas categorias: com e sem acesso Shell (SSH).
Se você possui uma hospedagem com privilégios de administrador (root) e um domínio ativo, então está apto a instalar o certificado. Para conhecer uma das maneiras de fazê-lo, veja este tutorial sobre como instalar o certificado Let’s Encrypt na hospedagem por conta própria.
Se você não possui acesso root SSH (e/ou não faz ideia do que isso significa), a maneira mais fácil de obter um certificado SSL Let’s Encrypt (ou outro gratuito) para o seu site é através de uma empresa de hospedagem que ofereça esse recurso. Diversas empresas já oferecem a instalação automática do Let’s Encrypt (e de outros certificados gratuitos) pelo painel de controle do cliente (veja aqui 8 opções de hospedagem com SSL grátis). Se quiser ver outras, o site da Let’s Encrypt possui uma lista extensa de empresas que oferecem suporte à certificação.
Conclusão
Neste artigo, vimos que um certificado SSL já é uma necessidade para qualquer site profissional, pois, além de aumentar a segurança de comunicação entre o site e seus usuários, também é cada vez mais exigida por gigantes como o Google e o WordPress.
O Let’s Encrypt, felizmente, chegou para democratizar o uso do protocolo HTTPS, uma vez que está disponível para todos gratuitamente. A ferramenta está sendo adotada tão rapidamente que talvez, em breve, não haverá mais nenhum site na internet que não possua o cadeado de conexão segura no navegador.
Existem ainda outras maneiras de obter o recurso gratuitamente, além do uso do Let’s Encrypt. Veja neste artigo as diferentes formas de conseguir um SSL gratuito para o seu site. Confere lá!
Possui alguma dúvida ou tem alguma informação para acrescentar? Deixe um comentário e teremos prazer em conversar!