SSL "Obrigatório"

[vitor-mendrone-deel]

Pessoal, como alguns de vocês devem saber o Google está "gentilmente" forçando sites a habilitarem o SSL em todas as páginas. Vi a alguns dias que em breve sites sem HTTPS exibirão um pequeno "X" ao lado da URL, algo que assusta usuários que não entendem muito do assunto, principalmente em lojas virtuais.

O que vocês acham dessa iniciativa? Acham válido "obrigar" o proprietário de um site investir até R$2.000,00 em um certificado de segurança? Acham que iniciativas como o Lets Encrypt tem chances de vingar lutando contra gigantes tipo Comodo, Digicert, Thawte, etc?

[rickbenetti]

Então @Mendrone como inicativas como a Let`s Encrypt existe isso já resolverá muito, nos servidores da minha empresa a Studio BOZ estamos implementando com script que vai gerar automaticamente o certificado a cada 90 dias, evitando de a gente de refazer manualmente isso.

O meu blog já está com esse certificado implementado: RKB81

[mikejavier]

Sou totalmente a favor de se usar SSL em sites, inclusive neste ano coloquei obrigatório no meu.
Dependendo do projeto, não precisa pagar para ter SSL, segue um post do Joselito que pode ajudar.

https://medium.com/@joselitojunior1/seus-sites-seguros-de-gra%C3%A7a-sem-custo-nenhum-e-n%C3%A3o-pagando-nada-49df4694bd85#.h9h9juf6d

[kazzkiq]

Como o @rkb81 comentou, a iniciativa Let's Encrypt é uma ótima alternativa gratuita para este problema. Mas como ela requer acesso ao servidor para ser instalada, acho que não rola em hospedagens compartilhadas.

Eu confesso que não levei fé quando vi a iniciativa dos caras, só fiquei menos cabreiro quando vi os patrocinadores "peixe-grande" por trás da Let's Encrypt.

[fmoliveira]

@Mendrone , não conhecia o Let's Encrypt, realmente é uma ótima iniciativa!

Eu tenho usado até o momento o Cheap SSL Security, que oferece certificados SSL simples a partir de US$ 4.99 por ano, o que já dá uma baita diferença para quem não precisa de um super certificado. 😉

[vitor-mendrone-deel]

Com o StartSSL é possível obter um certificado gratuito em poucos minutos. (Gerei um em menos de 10 minutos e de graça aqui)

Excelente dica que encontrei no post do Joselito indicado pelo @mikejavier

[felipemarcos]

Levei 10 minutos para instalar o Let's Encrypt seguindo este tutorial da Digital Ocean, incluindo renovação automática quando estiver faltando 1 mês para expirar

[vitor-mendrone-deel]

Outra dica: De acordo com o suporte da StartSSL, diferente do que é dito no post do Joselito, após 1 ano você pode renovar o certificado gratuitamente.

Segue link: https://www.startssl.com/

[juniorconte]

Comecei a utilizar cloudflare.com , eles oferecem 4 níveis de serviço, e no primeiro nível "que é gratuito" oferecem um certificado SSL. https://www.cloudflare.com/ssl

Tomei conhecimento desses caras, a partir dessa publicação https://www.digitalocean.com/community/tutorials/how-to-mitigate-ddos-attacks-against-your-website-with-cloudflare

[vitor-mendrone-deel]

@juniorconte De acordo com o artigo do Joselito (Não testei) o Cloudflare só protege uma parte da conexão, vale dar uma olhada no link compartilhado pelo @mikejavier

https://medium.com/@joselitojunior1/seus-sites-seguros-de-gra%C3%A7a-sem-custo-nenhum-e-n%C3%A3o-pagando-nada-49df4694bd85#.o1sujl8lj

[juniorconte]

Sim @Mendrone, isso está correto, desde que se for aplicado ao modelo SSL Flex, que neste caso O certificado é aplicado na conexão entre o cliente e a CloudFlare, que atua com um "proxy", e da CloudFlare para seu servidor não existiria nenhuma criptografia. Mas uma coisa que o Joselito esqueceu de citar, é que além do modo Flex, é possível utilizar o modo Full e Full strict, ambos dentro do plano Free da CloudFlare.

No Full, é possível utilizar um SSL auto-assinado "grátis" em seu servidor, e isso já garante que a conexão entre ambas as pontas fique criptografada. Neste caso, pode-se utilizar o certificado auto-assinado prq a CloudFlare não tem a pretenção de validar sua entidade, mas apenas criptografar a comunicação.

No Full strict, também existe o certificado entre a CloudFlare e o seu server, so que este certificado deve ser trusted por alguma entidade, ou seja, ele é pago.

Tem mais detalhes no link https://www.cloudflare.com/ssl

[marquinhusgoncalves-zz]

Vi a notícia que o Google está "gentilmente" forçando sites a habilitarem o SSL em todas as páginas e fiquei sabendo aqui pelo @Mendrone que em breve sites sem HTTPS exibirão um pequeno "X" ao lado da URL, e que realmente algo que assusta usuários que não entendem muito do assunto, principalmente em lojas virtuais, vou ser sincero não fui atrás de nada até então porém aqui encontrei muitas informações e vou testa-las

[doug2k1]

Estava planejando a migração do meu site, mas brochei quando descobri que os ganhos com AdSense são menores em páginas HTTPS: http://adsense.blogspot.com.br/2013/09/use-adsense-on-your-https-sites13.html

O Google incentiva de um lado e penaliza do outro.

[vitor-mendrone-deel]

Excelente dica @doug2k1, eu não sabia disso.

[juniorconte]

Outra ferramenta que passou a suportar SSL e que também oferece uma camada gratuita, é o https://www.aerobatic.com , que inclusive, é um serviço de hospedagem focado em Front-end. Só estou usando para testes por enquanto, mas está sendo promissor.