Como adicionar SSL manualmente ao WordPress gratuitamente usando o Let's Encrypt?

Você está pensando em mudar de HTTP para HTTPS e instalar um certificado SSL em seu site WordPress? Em seguida, continue lendo para aprender como adicionar SSL gratuitamente ao WordPress. Cada usuário da Internet compartilha muitas informações pessoais todos os dias. Todos nós fazemos. Ao fazer compras online, criar contas, fazer login em diferentes sites, etc.

Se não for criptografada corretamente, essa informação pode ser obtida por alguém. É aqui que o SSL vem para o resgate. Ele fornece a tecnologia de criptografia para proteger a conexão entre o navegador do usuário e o servidor da web.

Cada site recebe um certificado SSL exclusivo para fins de identificação. Se um servidor fingir estar em HTTPS e seu certificado não corresponder, a maioria dos navegadores modernos avisará o usuário ao se conectar ao site.

Anteriormente, a única maneira de proteger sites com SSL era usando um certificado SSL pago. Até que o Let's Encrypt se tornasse disponível publicamente .

O que é vamos criptografar?

Let's Encrypt é uma autoridade de certificação aberta e gratuita que fornece certificado SSL para o público em geral. É um projeto do Internet Security Research Group (ISRG). Let's Encrypt é patrocinado por muitas empresas, incluindo Google, Facebook, Sucuri, Mozilla, Cisco, etc.

Não há melhor momento para instalar o certificado SSL em seus sites WordPress. Especialmente quando a equipe de segurança do Google Chrome anunciou que seu navegador começará a rotular as conexões HTTP como inseguras a partir de janeiro de 2017:

A partir de janeiro de 2017 (Chrome 56), marcaremos sites HTTP que transmitem senhas ou cartões de crédito como não seguros, como parte de um plano de longo prazo para marcar todos os sites HTTP como não seguros ”, disse o membro da equipe de segurança do Chrome Emily Schechter. A primeira etapa do plano é exibir um rótulo “Não seguro” na barra de endereço.

Os proprietários de sites que desejam evitar que seus sites HTTP sejam rotulados como não seguros não têm muito tempo para protegê-los.

Outro benefício de ter SSL em seu site é a capacidade de utilizar HTTP / 2, que é essencialmente uma evolução do protocolo HTTP. Os sites com HTTP / 2 são mais rápidos, pois permitem que vários arquivos sejam transferidos simultaneamente.

Eu pretendia implementar SSL em todos os meus sites há algum tempo. O problema era que eu não sabia como implementar o Let's Encrypt SSL grátis.

Eu li muitos tutoriais sobre como adicionar Let's Encrypt SSL ao WordPress. Mas todos eles parecem complicados para mim. Finalmente, depois de muita leitura, descobri uma maneira fácil de instalar o Let's Encrypt SSL.

Meu método pode ser encontrado abaixo. Existem outras maneiras também. Este guia destina-se a ser amigável para iniciantes e é baseado na minha experiência de instalar SSL em alguns dos meus sites WordPress gratuitamente usando o Let's Encrypt.

Sem a necessidade de SSH, acesso root, execução de comandos e outros processos o usuário médio não entende (inclusive eu) e que a maioria dos guias sobre a implementação do SSL do WordPress mencionam.

Este post é bastante longo com muitas informações, mas se você estiver interessado, antes de pular para a seção sobre como implementar facilmente o Let's Encrypt em seu (s) site (s) WP, verifique as explicações sobre alguns dos termos abaixo.

O que são HTTPS e SSL?

Todos os dias, compartilhamos nossas informações pessoais com diferentes sites. Seja fazendo uma compra ou apenas fazendo login. Para proteger a transferência de dados, uma conexão segura precisa ser criada. É quando entram SSL e HTTPS.

Você deve ter notado que sempre que estiver interagindo com um site seguro (como o portal de seu banco on-line), o endereço na barra do navegador terá https: // na frente de, em vez do http H: // usual.

Além disso, a maioria dos navegadores modernos exibe um pequeno cadeado na barra do navegador quando você está conectado a esse site.

HTTPS ou HTTP seguro é um método de criptografia. Ele protege a conexão entre o navegador dos usuários e o seu servidor. Isso torna mais difícil para os hackers espionar a conexão.

Por que você mudaria de HTTP para HTTPS e instalaria um certificado SSL? O protocolo estabelece a conexão entre os dois, onde, uma vez que o relacionamento seja estabelecido com sucesso, apenas as informações criptografadas serão transferidas.

Isso significa que todas as informações de texto simples que poderiam ser lidas por qualquer idiota lá fora serão trocadas por letras aleatórias e sequências de números que não são legíveis por humanos.

Se algum hacker conseguir interferir na troca de informações, a criptografia torna muito mais difícil entendê-la.

Padrões de criptografia

SSL e HTTPS vêm com padrões de criptografia diferentes. O mais antigo se chama SHA e não está mais em uso. Seu sucessor SHA1 , embora ainda em circulação, está sendo descontinuado.

O Google Chrome, por exemplo, começou a emitir avisos para sites que executam esse padrão no início de 2016.

O padrão de criptografia atual para protocolos SSL é SHA2 . No entanto, em algum momento, ele dará lugar ao SHA3, que está atualmente em desenvolvimento.

NOTA : SSL não é mais o nome correto para o certificado. A tecnologia foi aprimorada no final dos anos 90 e seu nome mudou para TLS (Transport Layer Security). No entanto, a sigla SSL travou e está evidentemente sendo usada até hoje. Então, também vou usá-lo principalmente neste post.

Por que você precisa de HTTPS e SSL?

Se estiver executando um site de comércio eletrônico, você definitivamente precisa de um certificado SSL (Secure Sockets Layer). Especialmente se você estiver coletando informações de pagamento. A maioria dos provedores de pagamento, como Stripe, PayPal Pro, Authorize.net, etc., exigem que você tenha uma conexão segura usando SSL.

O Google afirmou que está usando HTTPS e SSL como um sinal de classificação em seus resultados de pesquisa. Isso significa que o uso de SSL ajudará a melhorar o SEO do seu site.

Além disso, implementando SSL, você pode utilizar HHTP / 2 que, como já mencionei, permite que vários arquivos sejam transferidos simultaneamente, melhorando assim o tempo de carregamento do seu site.

Usando SSL, você pode não apenas proteger dados confidenciais , como endereços de e-mail, informações de cartão de crédito, senhas, etc., de possíveis ataques de hackers, mas também melhorar a classificação e a velocidade do seu site.

Antes, os certificados SSL eram caros. De $ 10 a $ 200 por ano. Mas, graças ao projeto Let's Encrypt, agora é possível ativar um número ilimitado de certificados gratuitamente.

Por que o site WooCommerce precisa de SSL / TLS?

O problema de segurança é muito importante em qualquer site, principalmente para lojas online. Existem muitas interações entre um cliente e um servidor em um site de comércio eletrônico. Seu cliente deve fornecer suas informações pessoais, como números de cartão de crédito, para concluir o processo de pagamento.

Portanto, você precisa proteger todas as suas informações privadas. Também ajuda você a conquistar a confiança do cliente - a chave mais importante para um site de comércio eletrônico de sucesso. Ninguém quer comprar produtos em uma loja online desprotegida, onde hackers podem roubar suas informações.

Ao usar SSL, os dados são criptografados imediatamente , evitando que os hackers leiam os dados em trânsito. Qualquer site WooCommerce que use o método de pagamento PayPal Standard precisará de um SSL para aumentar a segurança, portanto, ter SSL é o requisito para o seu site WooCommerce, caso você esteja usando o PayPal para fazer check-out e muitos outros gateways de pagamento.

Por que vamos criptografar?

O Let's Encrypt é uma autoridade de certificação gratuita, automatizada, sem a necessidade de um IP dedicado e aberta, e muitas empresas estão oferecendo suporte a ela. Além disso, muitas empresas de hospedagem, provedores de CDN e outros implementaram o Let's Encrypt, portanto, é ainda mais fácil aplicá-lo ao seu site.

Os principais recursos do Let's Encrypt são :

• É grátis - você pode instalá-lo gratuitamente em todos os seus domínios.
• Seguro - Usa os mais altos padrões de segurança para a troca de informações.
• Transparente - Todos os certificados emitidos ou revogados serão registrados e disponibilizados publicamente para qualquer pessoa inspecionar (isso também pode ser considerado uma desvantagem).
• Sem IP dedicado - você não precisa gastar dinheiro com um IP dedicado.
• Compatibilidade - Compatível com todos os navegadores.
• Hospedagem compartilhada - pode ser usada em hospedagem compartilhada e não apenas dedicada ou VPS (verifique os melhores provedores de hospedagem WordPress com preços acessíveis).

A única desvantagem do Let's Encrypt é que precisa ser renovado a cada 90 dias. Mas esse processo pode ser automatizado sem sua intervenção manual.

Como adicionar SSL ao WordPress?

Como o Let's Encrypt está se tornando popular, muitas empresas de hospedagem do WordPress já começaram a oferecer a configuração fácil do Let's Encrypt SSL.

A maneira mais fácil de adicionar o SSL grátis Let's Encrypt ao WordPress é inscrevendo-se em uma empresa de hospedagem que oferece uma integração embutida. Infelizmente, nem todas as empresas de hospedagem oferecem suporte ao Let's Encrypt. Aqui está a lista completa de empresas de hospedagem que suportam o Let's Encrypt.

# 1 Suas ofertas de hospedagem vamos criptografar a integração (FÁCIL)

É fácil configurar o Let's Encrypt para o seu site se sua empresa de hospedagem oferecer integração. Nem precisa ser um provedor de hospedagem.

A maioria dos serviços CDN oferece integração do Let's Encrypt gratuitamente com seu serviço. Um exemplo desses provedores de CDN é KeyCDN, MaxCDN, CDNSun ou Incapsula (verifique a revisão do Incapsula), que oferece certificado SSL gratuitamente com planos pagos.

Nestes casos, você também não precisa se preocupar com a renovação do certificado, pois isso será feito automaticamente para você. Vou explicar no exemplo do site.

Faça login no painel do seu cPanel (o que é cPanel) e role para baixo até a seção de segurança. Lá você precisará clicar no ícone Let's Encrypt.

Isso o levará à página de instalação do Let's Encrypt. Você precisará selecionar o nome de domínio onde deseja usar SSL.

Agora você pode clicar no botão instalar. Vamos criptografar irá emitir um certificado SSL exclusivo para o seu site. Assim que terminar, você verá uma mensagem de sucesso.

Isso é tudo. Você integrou com sucesso o Let's Encrypt SSL grátis ao seu site WordPress. Aqui você não precisa fazer mais nada.

No entanto, seu site WordPress ainda não está pronto para ser usado. Primeiro, você precisará atualizar seus URLs do WordPress e, em seguida, corrigir o problema de conteúdo inseguro, se houver. Você pode encontrar tudo sobre isso abaixo.

# 2 Adicionar grátis vamos criptografar SSL se sua hospedagem não oferece integração

Se o seu host não oferece integração como SiteGround, DreamHost e outras empresas de hospedagem que oferecem o Let's Encrypt, você precisará passar por um procedimento um tanto demorado.

Mas não há necessidade de entrar em pânico. Vou mostrar uma maneira fácil de ainda adicionar SSL ao site WordPress se sua hospedagem ou CDN não oferecer integração.

Este método difere de um host para outro. A maioria das empresas de hospedagem possui um documento de suporte explicando o processo. Você também pode entrar em contato com a equipe de suporte para obter instruções detalhadas ou pedir que façam isso por você.

Algumas empresas de hospedagem irão instalar o certificado SSL para você . Você só precisa fornecer a eles a chave privada, o certificado e a CA. Isso é o que eu fiz com o Half Dollar Hosting. Acabei de contatá-los e eles fizeram isso por mim, pois não permitem que você configure sozinho.

Você precisa fornecer a eles um certificado para cada domínio. E no caso do Let's Encrypt, você precisa contatá-los novamente a cada 90 dias para renovar o certificado de cada site.

Instalando um certificado SSL em seu servidor manualmente usando cPanel

Primeiro vá para SSL gratuitamente. Não se preocupe, é seguro usar e eles emitem certificados em cooperação com Let's Encrypt. Digite seu nome de domínio com www ou sem. SSL For Free também adicionará outra versão ao certificado, então não importa. Eu, por padrão, uso www com todos os meus sites, então sempre o coloco como principal.

Em seguida, clique no botão Criar certificado SSL gratuito . Em seguida, será solicitado que você verifique se possui o domínio ao qual deseja adicionar o certificado. Você pode escolher entre verificação automática de FTP e verificação manual .

Se você selecionar Verificação automática de FTP, precisará inserir suas informações de FTP para a conta do servidor do domínio, como usuário, senha ... e a verificação será feita para você automaticamente. Eu prefiro ir com a Verificação manual, então vou mostrar as etapas para o manual.

Os passos necessários neste caso são explicados no site para que você não possa errar. Você baixa arquivos, faz login em seu cPanel, vai para a pasta de seu domínio e cria novas pastas seguindo os passos na página. Em seguida, você carrega os arquivos baixados para a pasta “acme-challenge”.

Depois de verificar se tudo foi feito corretamente, clique no botão Baixar certificado SSL . Eu nunca marque Tenho meu próprio CSR. Nesse caso, você receberá um.

Agora você obterá uma chave privada, certificado e CA. Clique para baixá-los e você obterá o arquivo .zip. Este arquivo você fornece à sua hospedagem se eles forem instalar para você ou extraí-lo se você for instalar o certificado por conta própria.

Você também pode ativar a opção de ser notificado quando seu certificado estiver prestes a expirar. Caso você tenha esquecido, o certificado Let's Encrypt é válido por 90 dias. Depois disso, você precisa renová-lo seguindo as mesmas etapas.

Agora, depois de adquirir um certificado. É hora de instalá-lo no servidor. Siga as etapas abaixo para instalar o SSL em seu site :

1. Faça login em sua conta cPanel

2. Localize e clique em SSL / TLS Manager na seção Segurança

3. Clique em 'Gerenciar sites SSL' no menu Instalar e gerenciar SSL para o seu site (HTTPS) . Se você não tiver a opção Gerenciar sites SSL , tente entrar em contato com seu provedor de hospedagem e perguntar se eles podem instalar o certificado para você.

4. Copie o código do certificado que você recebeu incluindo —–BEGIN CERTIFICATE—– e —–END CERTIFICATE—– e cole-o no campo 'Certificado: (CRT)'.

Você pode clicar no botão Preenchimento automático por certificado , que aparece ao lado do certificado inserido. O sistema tentará obter o nome do domínio e a chave privada.

Você também pode escolher o domínio na lista suspensa e inserir manualmente o certificado e a chave privada nas caixas correspondentes. Lembre-se de incluir cabeçalhos e rodapés de início / fim para o certificado e a chave.

NOTA: As imagens abaixo são apenas um exemplo. Você não terá as mesmas informações, emissor, certificado, etc.

Copie e cole o pacote CA na caixa em Pacote de autoridade de certificação (CABUNDLE). Se você deseja usar este certificado para serviços de correio, marque a caixa de seleção 'Habilitar SNI para serviços de correio'.

Neste caso, você poderá usar seu domínio, no qual o certificado SSL foi instalado, como um nome de host do servidor de e-mail configurando seus clientes de e-mail para trabalhar através de portas seguras.

Esta opção está disponível apenas a partir do cPanel 11.48. Se você tiver uma versão mais antiga do cPanel, você não pode usar o seu certificado para enviar por e-mail.

5. Clique no botão ' Instalar certificado '

Parabéns! O certificado agora está instalado no servidor do seu site. O site agora deve estar acessível via https: //.

Teste seu certificado e verifique seu site usando https no navegador para ver se ele será exibido corretamente.

Atualizando URLs do WordPress após configurar SSL usando o plug-in

Depois de configurar o certificado SSL gratuito com Let's Encrypt, a próxima etapa é mover o URL do WordPress de HTTP para HTTPS. Um site padrão sem certificado SSL usa o protocolo HTTP. Isso geralmente é destacado com o prefixo http em endereços da web, como este: http://www.example.com

Sites seguros com certificados SSL usam protocolo HTTPS. Isso significa que seus endereços são assim: https://www.example.com. Sem alterar os URLs em seu site WordPress, você não usará SSL e seu site não estará seguro para a coleta de dados confidenciais.

1. Atualização de URLs do WordPress para HTTPS para o novo site do WordPress

Se você estiver trabalhando em um site totalmente novo, basta acessar a área de administração do WordPress e clicar em configurações. Lá, você precisará atualizar os campos de URL do WordPress e URL do site para usar https.

Não se esqueça de salvar suas alterações.

2. Atualização de URLs do WordPress para HTTPS para o site WordPress existente

Se o seu site já está no ar há algum tempo, é provável que ele seja indexado por mecanismos de pesquisa. Outras pessoas podem ter vinculado a ele usando HTTP na URL. Você precisa se certificar de que todo o tráfego é redirecionado para a URL https.

Você precisa fazer é instalar e ativar o plugin Really Simple SSL. Este plugin irá detectar automaticamente seu certificado SSL e configurar seu site para usá-lo. Na maioria dos casos, você não precisará fazer mais alterações. O plug-in também corrigirá o problema de conteúdo inseguro.

3. Atualizar URLs do WordPress após adicionar SSL a um site WordPress existente sem plug-in

Se você deseja forçar todo o seu site a passar por https, mas sem o uso de plug-in, você pode adicionar estas regras ao seu arquivo .htaccess:

Possível problema de erro de mistura de conteúdo após a configuração de SSL

Quando você instala um certificado SSL em um novo domínio, todas as páginas e todos os recursos, como imagens, são servidos automaticamente com o protocolo HTTPS.

Mas se o certificado estiver habilitado em um domínio já em uso, você pode ter alguns problemas com a mistura de conteúdo . Isso significa que você tem conteúdo que é servido com HTTPS e conteúdo que é servido com HTTP.

O conteúdo misto acontece quando partes do seu conteúdo continuam a ser entregues via HTTP, enquanto o resto do seu site mudou para o HTTPS mais seguro.

Nesse caso, os navegadores modernos exibirão um aviso, fazendo com que os usuários considerem seu site inseguro.

Use a ferramenta gratuita SSL Check para examinar todo o seu site em busca de imagens, scripts, arquivos CSS e outros não seguros. Com essas informações, você pode executar uma ação corretiva. Uma alternativa para verificar páginas singulares é Por que não há cadeado ?.

Você também pode procurar o símbolo do cadeado na barra do navegador enquanto navega no site. Ele mostrará um aviso quando você estiver visitando uma parte que possui conteúdo misto.

Se você encontrar essa página, poderá descobrir o culpado dando uma olhada no console nas ferramentas de desenvolvedor do Chrome ou Firefox. Este artigo lista os vários métodos para resolver o problema de mixagem de conteúdo.

Resolvendo erro de conteúdo de mixagem usando CloudFlare

Se o seu site está em CloudFlare, você pode utilizar CloudFlare Automatic HTTPS Rewrites. A regravação automática de HTTPS é um recurso que regrava links para recursos não criptografados de HTTP para HTTPS.

Antes de a reconfiguração ser aplicada e veiculada no HTML enviado aos visitantes da web, um conjunto de regras é verificado para garantir que as referências sejam acessíveis via HTTPS.

Se você se conecta ao seu site por HTTPS e o ícone de cadeado não está presente, ou tem um triângulo de aviso amarelo nele, seu site pode conter referências a ativos HTTP (“conteúdo misto”).

O conteúdo misto geralmente se deve a fatores que não estão sob seu controle. Isso pode ser conteúdo incorporado de terceiros ou sistemas complexos de gerenciamento de conteúdo.

Reescrevendo URLs de “http” para “https”, a reconfiguração automática de HTTPS simplifica a tarefa de disponibilizar todo o seu site via HTTPS, ajudando a eliminar erros de conteúdo misto e garantindo que todos os dados carregados pelo seu site sejam protegidos.

Corrija itens não seguros em seu site

Instale o plug-in SSL Insecure Content Fixer. Ele tratará de todos os elementos incluídos e corrigirá recursos não https, caso existam. Certifique-se de verificar as configurações de plug-ins se não funcionar imediatamente.

O que acontecerá se o certificado expirar?

Quando o seu certificado expira, os visitantes recebem um aviso sobre isso e são aconselhados a não entrar no seu site. Você não deve deixar isso acontecer. Sempre certifique-se de que seu certificado seja renovado a tempo . O mesmo aviso também pode ser dado para certificados autoassinados que não foram validados por uma autoridade externa.

Atualize as configurações do Google Analytics após mudar para HTTPS

Se você tiver o Google Analytics instalado em seu site WordPress, será necessário atualizar suas configurações e adicionar seu novo URL com https. Faça login no painel do Google Analytics e clique em 'Admin' no menu superior. Em seguida, você precisa clicar nas configurações de propriedade em seu site.

Lá você verá a opção de URL padrão. Clique em HTTP e selecione https. Não se esqueça de clicar no botão Salvar para armazenar suas configurações. Além disso, adicione https: // www e sem www às ferramentas do Google para webmasters do seu site.

Configurando SSL apenas em algumas páginas

Se, por algum motivo, você quiser apenas adicionar SSL a páginas específicas do seu site, precisará do plug-in chamado WordPress HTTPS (SSL).

Apesar de este plugin não ter sido atualizado por um tempo, ele ainda funciona bem. Após a ativação, o plug-in adicionará um novo item de menu denominado HTTPS em seu administrador do WordPress. Você pode clicar nele para visitar a página de configurações do plugin.

A primeira opção da página de configuração solicita que você insira seu host SSL. Principalmente é o seu nome de domínio. No entanto, se você estiver configurando o site em um subdomínio e o certificado SSL que você obteve for para o seu nome de domínio principal, você entrará no domínio raiz.

Se você estiver usando um certificado SSL compartilhado fornecido por seu host da web , será necessário inserir as informações do host fornecido em vez de seu nome de domínio.

A configuração Forçar administração de SSL força o WordPress a usar HTTPs em todas as páginas da área administrativa. Você precisa marcar esta caixa para se certificar de que todo o tráfego para sua área de administração do WordPress está seguro.

A próxima opção é usar Forçar SSL Exclusivamente . Marcar esta caixa só usará SSL em páginas onde você marcou a opção Forçar SSL. Todo o outro tráfego irá para o URL HTTP padrão.

Isso funciona se você deseja usar SSL apenas em páginas específicas, como um carrinho de compras, check-out, páginas de conta de usuário, etc. Clique no botão Salvar alterações para armazenar as configurações do plugin.

Se quiser usar HTTPS apenas para páginas específicas, você precisará editar essas páginas e marcar a caixa de seleção Forçar SSL . Depois de fazer isso, visite sua página para garantir que você tenha um cadeado verde no Chrome e em outros navegadores.

Como definir Let's Encrypt With CloudFlare?

Se você estiver usando o CloudFlare com o seu site, provavelmente está ciente do CloudFlare Flexible SSL ou como eles o chamam de Universal SSL. SSL universal é simplesmente o nome do serviço SSL gratuito CloudFlare.

Em 2014, a CloudFlare anunciou SSL universal gratuito para todos os seus usuários. Isso parece muito bom, especialmente sabendo que você pode usá-lo em seu pacote gratuito.

Mas muitos não entendem exatamente como funciona o SSL flexível CloudFlare. A opção SSL flexível fornece apenas tráfego seguro entre o usuário e a rede CloudFlares .

Não entre CloudFlare e seu site. O que significa que o tráfego do usuário é exposto pela Internet como tráfego HTTP normal.

SSL flexível não é recomendado se você tiver informações confidenciais em seu site. Esta opção só deve ser usada como último recurso se você não puder configurar o SSL em seu próprio servidor web. Esta opção é muito menos segura do que a opção Full SSL indicada abaixo. - CloudFlare

Qual é o problema disso? Bem, o dono do site pode saber ou não sobre isso. Eles podem aceitar isso e escolher usar o SSL flexível. São eles que escolhem correr o risco.

Mas e os usuários do site? Os usuários do site não saberão a diferença. Eles verão HTTPS.

Pense que é um certificado válido e use o site com prazer, forneça informações pessoais, dados bancários, etc., sem saber que eles estão realmente usando HTTP inseguro.

Portanto, se estiver usando o SSL flexível da CloudFlare, não altere o seu site para URLs HTTPS. Deixe-o como está por padrão ou mude para Full Strict após instalar o Let's Encrypt.

O modo SSL flexível da CloudFlare é o padrão para sites da CloudFlare no plano Gratuito. Para tirar proveito de nosso modo Full and Strict SSL, que criptografa a conexão entre CloudFlare e o servidor de origem, é necessário instalar um certificado no servidor de origem .

Ao instalar o certificado Let's Encrypt SSL em seu site, vá para as configurações CloudFlare Crypto para o seu site no qual você instalou o certificado e altere a configuração SSL para Full (estrito) .

Agora você tem o benefício adicional de uma conexão autenticada e criptografada com seu servidor de origem.

Você também pode, em vez de Let's Encrypt, instalar o Certificado de Origem CloudFlare. Os certificados de origem da Cloudflare são certificados TLS gratuitos emitidos pela Cloudflare que podem ser instalados em seu servidor de origem para facilitar a criptografia de ponta a ponta para seus visitantes usando HTTPS.

Você pode encontrar essa opção em CloudFlare na guia Crypto. Por padrão, os certificados recém-gerados são válidos por 15 anos. Você também pode torná-lo mais curto.

O Certificado de Origem CloudFlare ainda não é confiável para os navegadores. Mas terá a confiança do CloudFlare , permitindo que a conexão de back-end seja criptografada e autenticada.

Isso também protege seu site se uma das autoridades de certificação de confiança pública for comprometida por invasores e usada para emitir certificados ilegítimos.

NOTA: Ao pausar CloudFlare ou zonas individuais de nuvem cinza, esteja ciente de que você e seus visitantes podem receber erros em seus navegadores para o seu site com o certificado de origem CloudFlare até que você nuvem laranja (proxy reverso) eles novamente.

O Chrome e outros navegadores não confiarão nos Certificados de Origem CloudFlare. Eles se destinam a ser usados ​​apenas por servidores de origem que estão por trás do serviço CloudFlare.

Mas os certificados raiz também estão disponíveis. Adicioná-los ao (s) armazenamento (s) confiável (is) TLS local permitirá que você valide diretamente, sem passar pelo CloudFlare.

CloudFlare Flexível SSL vs Full SSL vs Full SSL Strict

Escolha “ Flexível ” apenas se o seu servidor web de origem não puder aceitar conexões seguras (HTTPS). Selecione “ Completo ” se tiver um certificado SSL autoassinado e escolha “ Completo (estrito) ” se tiver um certificado SSL válido.

Desligado : Nenhuma conexão segura entre seu visitante e CloudFlare, e nenhuma conexão segura entre CloudFlare e seu servidor web.

Isso significa que os visitantes só podem visualizar o seu site por HTTP, e qualquer visitante que tentar se conectar via HTTPS receberá um redirecionamento HTTP 301 para a versão HTTP simples do seu site.

SSL flexível : conexão segura entre o seu visitante e CloudFlare, mas nenhuma conexão segura entre CloudFlare e seu servidor web. Você não precisa ter um certificado SSL em seu servidor web, mas seus visitantes ainda veem o site como HTTPS habilitado.

Esta opção não é recomendada se você tiver informações confidenciais em seu site. Ele só deve ser usado como último recurso se você não puder configurar o SSL em seu próprio servidor web. É menos seguro do que qualquer outra opção (mesmo “Desligado”) e pode até causar problemas quando você decidir abandoná-lo.

SSL completo : conexão segura entre o seu visitante e CloudFlare, e conexão segura (mas não autenticada) entre CloudFlare e seu servidor web. Você precisará ter seu servidor configurado para responder a conexões HTTPS, com um certificado autoassinado, pelo menos.

Full SSL (Strict) : Conexão segura entre o visitante e CloudFlare, e conexão segura e autenticada entre CloudFlare e seu servidor web.

Você precisará ter seu servidor configurado para responder a conexões HTTPS, com um certificado SSL válido. Este certificado deve ser assinado por uma autoridade de certificação, ter uma data de expiração no futuro e responder ao nome de domínio do pedido (nome do host).

Tenho certificado instalado no servidor. Por que estou vendo o certificado CloudFlare?

Quando você usa CloudFlare, eles descriptografam os dados em sua borda para armazenar em cache e filtrar qualquer tráfego ruim. Dependendo das configurações de SSL, eles podem criptografar novamente ou enviá-lo como texto simples.

Como cada certificado precisa de um endereço IP dedicado , eles adicionam seu nome de domínio e domínio curinga (* .domain.com) no SAN (Nome Alt do Assunto) ao certificado.

Se você usar o plano gratuito CloudFlare e tiver um certificado de terceiros instalado (como Let's Encrypt), ao verificar o certificado do seu site, ele sempre mostrará o certificado CloudFlare.

Se você não quiser que o nome do CloudFlare seja exibido quando um visitante verificar o certificado, você precisa do plano CloudFlare Business / Enterprise. Em outras palavras, você precisa pagar.

Os clientes com esses planos podem fazer upload de sua própria chave SSL e certificado, e o nome do CloudFlare não será mostrado.

Como transferir o certificado SSL?

Você está mudando para um novo servidor, mas ainda tem tempo restante para o certificado antigo? Você pode mover seu certificado para o novo servidor. Ao mover um SSL, o certificado precisa ser para o mesmo nome de domínio no novo servidor.

Como adicionar SSL manualmente às palavras finais gratuitas do WordPress

Atualmente, o HTTPS é uma necessidade. Ele aumenta a privacidade de seus usuários, permite que você use novos recursos do navegador e permite que você mantenha o acesso aos recursos existentes.

Como você viu, com o Let's Encrypt, obter um certificado SSL é fácil e pode ser gratuito . Estamos apenas no início de uma pequena, mas significativa revolução na segurança da rede da Internet.

Se você estiver executando um site WordPress que lida com dados confidenciais, o SSL é obrigatório. Sem a criptografia de tráfego, o risco de as informações do seu cliente serem interceptadas é muito alto.

Além de ser um provedor de serviços responsável, a camada adicional de segurança também é um sinal positivo para os mecanismos de pesquisa . So if you don't do it for your clients, at least do it for the rankings.

I have already started installing SSL certificate on my WordPress websites. Soon you will also see HTTPS on kasareviews.com. I recommend you taking the same step.

Remember, an ounce of prevention is worth a pound of cure. Take WordPress security seriously . Your visitors and customers will thank you.