Let’s Encrypt – Por uma web mais segura

O Let’s Encrypt é um projeto mantido por diversas empresas do segmento de tecnologia, incluindo Facebook, Mozilla, Akamai e Cisco, que pretende melhorar a segurança na internet. Como? Através de certificados SSL/TLS grátis, autenticados, o que garante uma confiabilidade maior do que um certificado auto-gerado. Para entender um pouco melhor esta iniciativa, vamos recapitular o que são certificados TLS, principais empresas que fornecem, e vantagens (e desvantagens) do Let’s Encrypt, em relação a elas.

Let's Encrypt

Segundo o GTA/UFRJ, “o principal objetivo do protocolo TLS é garantir a privacidade e a integridade dos dados em uma comunicação entre duas aplicações”. Isto ocorre através de uma criptografia simétrica que encripta os dados a serem transmitidos. Isso evita, por exemplo, um ataque do tipo “Man in the Middle“, no qual os dados são interceptados por uma terceira parte, que pode alterá-los, e encaminhar ao destinatário final, como se fosse a parte genuína.

Atualmente, deve-se comprar o certificado SSL/TLS e, dependendo do tipo, pode sair bem caro. Há diferentes tipos de certificados:

HTTPS Contabilizei

HTTPS Rodrigo Müller

 

O certificado da Contabilizei, que aparece a barra verde, bem como o nome da empresa, é mais caro que o que eu utilizo aqui no site, que só valida o domínio. Um bom lugar para comprar SSL baratos é o site SSLS.com, que eu recomendo.

Na verdade, é possível gerar um certificado auto-assinado, grátis. Porém, como ele não é autenticado por nenhuma empresa competente, os navegadores não gostam muito, como pode se ver na imagem abaixo. Diversos órgãos públicos utilizam essa estratégia.

Aviso certificado auto-gerado
Aviso certificado auto-gerado

Porém, com o surgimento do Let’s Encrypt, é possível gerar o certificado autenticado, grátis. Mas ele não serve para tudo. Por exemplo, ele não disponibiliza certificados com a barra verde (como o da Contabilizei), e os certificados devem ser renovados a cada 3 meses (na SSLs.com, é possível comprar o certificado por até 5 anos, poupando um trabalho de revalidação).

Para instalar o software que configurará o certificado, deve-se clonar o repositório Git do projeto, e instalar o software:

git clone https://github.com/letsencrypt/letsencrypt

cd letsencrypt

./letsencrypt-auto

letsencrypt certonly --webroot -w /var/www/example/ -d www.example.com -d example.com

 

O último comando gerará o certificado para o domínio example.com, bem como para o www.example.com, e a opção -w (/var/www/example/) é o local onde o site está armazenado (se estiver usando algum painel, como o VestaCP, este local será diferente, como /home/usuario/web/example.com/public_html). Se estiver usando o Apache, existe a opção –apache, que configura tudo automaticamente.

É possível ler as diferentes opções na documentação.

Let’s encrypt the web!

  • Leonardo Neto

    Boa tarde!
    como faço para gerar um certificado para um outro servidor?