Como forçar o HTTPS com o .htaccess

Avatar

Redação

0 avaliações

20 de maio de 2019 às 12:54

Se você está procurando como forçar o HTTPS com o .htaccess, você veio ao lugar certo.

A utilização do HTTPS sempre foi recomendada para sites de vendas ou páginas que lidam com informações sensíveis. No entanto, com a privacidade do usuário cada vez risco, o acesso por HTTPS passou a ser uma recomendação para todos os sites.

Como forçar o HTTPS

Além disso, há o claro risco de segurança que a ausência HTTPS pode representar. Recentemente, a revista Época Negócios noticiou o roubo de milhões de informações de cartões de crédito nos Estados Unidos — o que causou um enorme prejuízo aos usuários.

Em vista disso, muitos hoje se preocupam com a segurança de seus dados na internet e utilizam os certificados HyperText Transfer Protocol Secure (HTTPS) e Secure Sockets Layer (SSL) para aumentar a proteção on-line.

O HTTPS requer um certificado SSL, que a maioria dos provedores de hospedagem já oferece gratuitamente em seus planos. Mas para que o site faça uso desse recurso, é necessário configurá-lo no site. E uma forma fácil de fazer isso, é com o .htaccess.

Aqui estão os passos para forçar o HTTPS com o .htaccess:

  1. No painel de hospedagem, procure a opção "Gerenciador de arquivos";
  2. Em seguida, navegue até a pasta public_html. Ali, é possível encontrar o arquivo .htaccess;
  3. Edite o .htaccess e inclua as regras de redirecionamento no início do arquivo.

Regras de redirecionamento para o .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Pronto, adicionado essas linhas ao arquivo .htaccess, todo página será carregada com HTTPS.

Se o passo a passo não ficou muito claro, confira abaixo o passo a passo detalhado com imagens.

1. Procure por Gerenciador de arquivos em seu painel de hospedagem

O primeiro passo é acessar o seu painel de hospedagem e procurar pelo "Gerenciador de arquivos". A depender do painel de hospedagem, o Gerenciador de hospedagem pode variar mas todos vão permitir que você vá até uma pasta e edite um arquivo sem sair do navegador.

Forçar HTTPS com .htaccess - Gerenciador de arquivos

Se a sua hospedagem não disponibiliza um Gerenciador de arquivos, você pode usar o FileZilla para gerenciar os arquivos do seu site servidor de hospedagem.

2. Localize o arquivo .htaccess na pasta public_html

No gerenciador de arquivos, procure pela pasta "public_html", que é onde ficam os arquivos do seu site e também o arquivo .htaccess.

Como forçar HTTPS com .htaccess - Localizando o arquivo

Nota: se você não visualizar o arquivo .htaccess, procure a parte de Configurações do Gerenciador de Arquivos e habilite a exibição de arquivos ocultos.

3. Clique na opção para editá-lo e inclua as regras de redirecionamento

Depois de localizar o arquivo .htaccess, o próximo passo é editá-lo. A forma para editar o arquivo também vai depender do gerenciador de arquivos, mas nos principais gerenciadores, basta clicar com botão direito e usar a opção Editar.

Como forçar HTTPS com .htaccess - Editar arquivo

Depois disso, basta incluir as regras que vimos para forçar o HTTPS no .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

O resultado deve ser algo como:

Como forçar HTTPS com .htaccess - Incluindo regras

Clique no botão "Salvar alterações" para completar e pronto: ao acessar qualquer URL do seu site, o HTTPS será forçado pelo .htaccess.

Nota: se já houver algum conteúdo no .htaccess, você deve incluir essas regras na primeira linha sem remover o conteúdo restante do .htaccess.

Como configurar o HTTPS/SSL no WordPress?

Se você usa WordPress, configurar o site para usar HTTPS é ainda mais fácil. Primeiramente, é preciso forçar o painel a executar uma versão segura.

Para isso, é preciso inserir uma linha de código no arquivo wp-config.php. Assim como foi feito com o arquivo .htaccess, acesse o gerenciador de arquivos da hospedagem e edite esse arquivo.

Localize o trecho:

/* That's all, stop editing! Happy publishing. */

Depois dessa parte, inclua a seguinte linha:

define ('FORCE_SSL_ADMIN', true)

Então, basta salvar o arquivo e fazer o login no painel de administração do WordPress novamente.

Para as páginas do site WordPress, basta substituir o prefixo do endereço de "http://" por "https://" no menu Configurações > Geral:

Como forçar HTTPS com .htaccess - WordPress

Você também pode usar um plugin, como o Really Simple SSL para forçar o HTTPS automaticamente. Além de facilitar a configuração do SSL no WordPress, o plugin pode ajudá-lo a identificar problemas em conteúdos transmitidos sem segurança e alertar sobre a expiração do certificado.

Depois de configurar o HTTPS, é válido fazer varredura no site em busca de mixed content — que são elementos carregados de maneira insegura. Você pode verificar isso a partir das ferramentas do desenvolvedor do seu navegador na aba Security.

Como forçar HTTPS com .htaccess - Mixed content

Então, recarregue a página com essa tela aberta. Se houver falhas, elas serão indicadas referenciando as requisições para conteúdos inseguros. Assim, você saberá a origem dos links ou imagens que estão sendo carregados de forma insegura no seu site.

O que é HTTPS?

Dito de maneira simples, o HTTPS é uma camada de proteção inserida entre a transmissão de dados de um computador com um servidor. Com isso, os sites que têm um endereço HTTPS apresentam mais segurança de dados, pois a comunicação é criptografada.

Esse sistema dificulta a interceptação das informações por pessoas não autorizadas — ou seja, é como se o computador e o servidor falassem um idioma que só eles entendem. Em virtude dessa alta proteção, sites importantes como o Google e as redes sociais Facebook e Twitter utilizam o HTTPS.

Como forçar HTTPS com .htaccess - O que é HTTPS

Inclusive, ter o certificado SSL influencia na visibilidade pelos motores de busca. Isso porque os buscadores usam o HTTPS como um dos fatores de otimização de páginas da web. Assim, se duas páginas na internet têm a mesma qualidade, a que usa certificado HTTPS aparece na frente nos resultados de pesquisa.

E como saber se uma página tem a criptografia? É simples: basta verificar na barra de endereço do navegador se há a sigla HTTPS, um cadeado antes do endereço. Se sim, sinal verde. Se não, fique alerta!

Qual é a diferença entre HTTPS e HTTP?

Muitos usuários têm essa dúvida, mas é muito fácil entender a diferença entre esses dois protocolos de transferência. É por meio do HyperText Transfer Protocol (HTTP) que os navegadores solicitam e recebem as páginas da internet. Em outras palavras, ele é o protocolo padrão da web.

Além disso, ele intermedeia o relacionamento entre usuário e servidor web ao remeter as mensagens de um para o outro e vice-versa. Entretanto, o HTTP é baseado em texto, ou seja, todas as informações transportadas podem ser facilmente interceptadas e alteradas durante o trajeto.

Imagine o dano que pode ocorrer quando dados bancários, por exemplo, são modificados. Por não ter nenhum mecanismo de segurança, o HTTP não é utilizado por instituições financeiras.

Por outro lado, o HTTPS é um protocolo criptografado. Ou seja, ele segue os princípios de segurança, integridade, confidencialidade e autenticação. Por isso, o usuário pode confiar que será muito difícil que seus dados sejam violados.

Como funciona o certificado SSL?

Alguns costumam dizer que o HTTPS é um HTTP com SSL. Na verdade, o SSL é mais uma camada de segurança que busca garantir confidencialidade e integridade à navegação.

Além disso, ele também usa um sistema criptográfico e duas chaves para proteger os dados. Uma delas é a chave pública, que, como o próprio nome diz, é visível para qualquer usuário. A outra é privada e só é revelada para o destinatário.

Graças à sua eficiência, o SSL é um padrão usado por sites de comércio eletrônico. Ele funciona como uma assinatura digital e nele ficam informações como: a identidade da empresa, as informações sobre o tipo de criptografia e o órgão emissor do certificado, e o período de validade.

Existem diferentes tipos de certificados SSL. Alguns deles são:

  • Certificado auto-assinado - usado para testes internos e desenvolvimento;
  • Validação de domínio - o tipo mais popular, usado na maioria dos sites;
  • Validação organizacional - confirma a existência de uma organização;
  • Validação estendida - passa maior confiança sobre a propriedade do site;
  • Certificado multi-domínio - ideal para a segurança de vários domínios;
  • Certificado para assinatura de código - usado para assinatura de aplicativos;
  • Certificado wildcard SSL - HTTPS é aplicado para todos subdomínios.

Como obter um certificado SSL e instalá-lo no site?

Primeiramente, procure saber se seu provedor de hospedagem fornece uma ferramenta automatizada que instala e atualiza o certificado. É provável que a sua hospedagem já tenha o SSL do Let's Encrypt incluído gratuitamente e o certificado possa ser instalado a partir do próprio painel de hospedagem.

Em contrapartida, se a empresa de hospedagem não oferecer certificados SSL nem uma ferramenta automatizada de instalação, você pode precisar comprar o certificado separadamente, entrando em contato com uma instituição confiável como a Comodo ou a Digicert.

Dessa forma, você vai receber instruções detalhadas sobre como instalar o SSL. A depender do software utilizado pelo servidor, as instruções de configurações específicas para essa aplicação virtual estarão em um manual de instalação próprio.

De fato, há muitas vantagens em utilizar o HTTPS em seu site. É uma maneira de garantir a segurança e privacidade no acesso às páginas. Com ele, você e sua empresa podem ficar mais tranquilos quanto à segurança de dados.

O que achou deste conteúdo? Entendeu como é feito o procedimento de forçar o HTTPS com o .htaccess? Compartilhe com a gente nos comentários!


Avatar
Redação

Melhor Hospedagem de Sites é um projeto com o objetivo de ajudar as pessoas na busca pelo lugar ideal para hospedar seus sites, trazendo informação e conhecimento sobre o universo de hospedagem de sites.


TOP 3 Provedores de Hospedagem
Hostinger logo
9.9 /10
GoDaddy logo
9.1 /10
Deixe um comentário