Como forçar o HTTPS com o .htaccess

Como forçar o HTTPS

Recentemente, a revista Época Negócios noticiou o roubo de milhões de informações de cartões de crédito nos Estados Unidos — o que causou um enorme prejuízo aos usuários. Em vista disso, muitos hoje se preocupam com a segurança de seus dados na internet e utilizam os certificados HyperText Transfer Protocol Secure (HTTPS) e Secure Sockets Layer (SSL) para aumentar a proteção on-line.

O que são, afinal, e como funcionam esses certificados? Como é feita sua instalação? É possível forçar o HTTPS com o .htacess? Neste post, explicamos esses e outros aspectos. Acompanhe!

O que é HTTPS?

Dito de maneira simples, o HTTPS é uma camada de proteção inserida entre a transmissão de dados de um computador com um servidor. Com isso, os sites que têm um endereço HTTPS apresentam mais segurança de dados, pois a comunicação é criptografada.

Esse sistema dificulta a interceptação das informações por pessoas não autorizadas — ou seja, é como se o computador e o servidor falassem um idioma que só eles entendem. Em virtude dessa alta proteção, sites importantes como o Google e as redes sociais Facebook e Twitter utilizam o HTTPS.

Inclusive, ter esse certificado pode fazer que o site de uma empresa se torne visível para os motores de busca do Google. Isso porque o buscador incluiu o HTTPS como um dos fatores de otimização de páginas da web. Assim, se duas páginas na internet têm a mesma qualidade em termos de conteúdo e responsividade, a que usa certificado HTTPS aparece na frente nos resultados de pesquisa.

E como saber se uma página tem a criptografia? É simples: basta verificar na barra de endereço do navegador se há a sigla HTTPS, um cadeado verde e uma bandeira com o nome do site. Se sim, sinal verde. Se não, fique alerta!

Qual é a diferença entre HTTPS e HTTP?

Muitos usuários têm essa dúvida, mas é muito fácil entender a diferença entre esses dois protocolos de segurança. É por meio do HyperText Transfer Portocol (HTTP) que os navegadores solicitam e recebem as páginas da internet. Em outras palavras, ele é o protocolo padrão da web.

Além disso, ele intermedeia o relacionamento entre usuário e servidor web ao remeter as mensagens de um para o outro e vice-versa. Entretanto, o HTTP é baseado em texto, ou seja, todas as informações transportadas podem ser interceptadas e alteradas durante o trajeto.

Imagine o dano que pode ocorrer quando dados bancários, por exemplo, são modificados. Por não ter nenhum mecanismo de segurança, o HTTP não é utilizado por instituições financeiras.

Por outro lado, o HTTPS é um protocolo criptografado. Ou seja, ele segue os princípios de segurança, integridade, confidencialidade e autenticação. Por isso, o usuário pode confiar que será muito difícil que seus dados sejam violados.

Como funciona o certificado SSL?

Alguns costumam dizer que o HTTPS é um HTTP com SSL. Na verdade, o SSL é mais uma camada de segurança que busca garantir confidencialidade e integridade à navegação.

Além disso, ele também usa um sistema criptográfico e duas chaves para proteger os dados. Uma delas é a chave pública, que, como o próprio nome diz, é visível para qualquer usuário. A outra é privada e só é revelada para o destinatário.

Graças à sua eficiência, o SSL é um padrão usado por sites de comércio eletrônico. Ele funciona como uma assinatura digital e nele ficam informações como:

  • a identidade da empresa;
  • as informações sobre o tipo de criptografia e o órgão emissor do certificado;
  • o período de validade.

Existem diferentes tipos de SSL. Alguns deles são:

  • certificado auto-assinado;
  • validação de domínio;
  • validação organizacional;
  • validação estendida;
  • certificado multi-domínio;
  • certificado para assinatura de código;
  • certificado wildcard SSL.

Como comprar um certificado SSL e instalá-lo no site?

Para adquirir um certificado SSL, é preciso primeiro gerar um arquivo de texto criptografado chamado de solicitação de certificado digital (Certificate Signing Request - CRS) por meio do servidor web do site. Depois, é necessário fornecer alguns dados:

  • common name: a URL onde o certificado será utilizado;
  • organization: o nome da instituição como aparece no Cadastro Nacional de Pessoas Jurídicas (CNPJ) ou, no caso de pessoa física, o próprio nome;
  • city or location: cidade;
  • state or province: estado;
  • country: país.

Em seguida, já é possível solicitar o certificado. Para isso, escolha uma opção que se ajuste às suas necessidades. Então, faça o pagamento e confirme a validação do serviço. Simples, não?

E como se instala o SSL? Primeiramente, procure saber se seu provedor de hospedagem fornece uma ferramenta automatizada que instala e atualiza o certificado. Se sim, o processo fica mais rápido e prático.

Em contrapartida, se a empresa de hospedagem não oferecer certificados SSL nem uma ferramenta automatizada de instalação, você pode entrar em contato com uma instituição confiável como a Comodo ou a Digicert.

Dessa forma, você vai receber instruções detalhadas sobre como instalar o SSL. A depender do software utilizado pelo servidor, as instruções de configurações específicas para essa aplicação virtual estarão em um manual de instalação próprio.

Como configurar o HTTPS e o SSL no WordPress?

Alguns passos são necessários para configurar o SSL e o HTTPS no WordPress. Primeiramente, é preciso forçar o painel a executar uma versão segura. Para isso, é preciso inserir uma linha de código no arquivo wp-config.php. Acesse o servidor de hospedagem do WordPress, faça o download desse arquivo e edite-o.

Localize o trecho that’s all, stop editing e, acima dessa frase, insira:

define ('FORCE_SSL_ADMIN', true)

Então, salve o arquivo e substitua-o no servidor de hospedagem. Com isso, deve aparecer um cadeado verde na linha da URL para indicar que o ambiente é seguro.

O próximo passo é usar seu login e sua senha para acessar a área de administração. É preciso fazer o download do plugin WordPress HTTPS (SSL) para configurar o HTTPS. Instale-o e ative-o. Logo deve aparecer no menu lateral do WordPress, o item HTTPS.

Em seguida, navegue até uma página ou post e abra o editor de imagens. Na barra lateral, selecione "Secure post" para atualizar a página e, depois, entre no navegador por meio da opção "Ver página" e verifique se o cadeado verde aparece.

O próximo passo é fazer uma varredura no site em busca de mixed content — que são elementos carregados de maneira insegura. Para isso, abra o menu de ferramentas do desenvolvedor do seu navegador.

Então, navegue pela versão HTTPS do site com essa tela aberta. Se houver falhas, elas vão aparecer no canto direito da tela: um clique no número de erros exibe uma lista de problemas. Isso indica que alguns elementos estão sendo transportados com uma URL sem criptografia. Descubra a origem delas e corrija-as manualmente.

Dá para forçar o HTTPS com o .htaccess?

Sim! E não é complicado fazer esse processo. Para ajudá-lo nessa tarefa, preparamos um passo a passo. Acompanhe:

  1. vá até sua conta de hospedagem e procure a pasta "Gerenciador de arquivos";
  2. em seguida, navegue até o arquivo public.html. Ali, é possível encontrar o .htaccess;
  3. clique nele para editá-lo.

Para fazer a edição, digite as seguintes linhas no início do Arquivo 4:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Pronto: o arquivo .htacess foi editado na sua conta de hospedagem.

De fato, há muitas vantagens em se adquirir o certificado HTTPS e o SSL para seu site. Eles são uma maneira segura de navegar pela internet. Com eles, você e sua empresa podem ficar mais tranquilos quanto à segurança de dados.

O que achou deste conteúdo? Entendeu como é feito o procedimento de forçar o HTTPS com o .htacess? Então, não perca nossos próximos materiais: assine nossa newsletter e receba, diretamente em seu e-mail, nossas próximas publicações sobre este e outros temas relevantes.

Melhor Hospedagem de Sites é um projeto com o objetivo de ajudar as pessoas a encontrarem o melhor provedor de hospedagem, trazendo informação e conhecimento sobre o universo de hospedagem de sites.

Deixe um comentário

Receber novidades por email: