Entenda porque você deveria mudar seu site para HTTPS

Se você tem um blog ou um site de comércio eletrônico, deveria começar a pensar seriamente em adotar o recurso de conexão segura para você e seus leitores.
Há vários motivos para isto.

O motivo mais banal e não menos importante é que o Google irá (cada vez mais) priorizar sites seguros na sua indexação.

A audiência, para quem tem um site sério, não é a principal preocupação, mas é um fator a se levar em consideração, convenhamos.

O motivo desta política do Google é a segurança. E este deveria ser o seu motivo também.
Já discutimos o assunto antes, no artigo É hora de criptografar toda a Internet.
Desta vez, quero reforçar e acrescentar argumentos.

Os protocolos de criptografia

Neste tópico, vou repassar alguns dos aspectos técnicos. Se você detesta isto, pule para o próximo. Sem mágoas. 😉
Sites HTTPS são os que possuem certificados SSL/TLS.
O TLS é abreviatura para Transport Layer Security (ou camada de segurança de transporte) e o SSL, Secure Sockets Layer (ou camada de soquetes de segurança).
Ambos são protocolos criptográficos que oferecem proteção aos dados durante o tráfego em uma rede de computadores.
Sites seguros oferecem suporte a este tipo de proteção entre o servidor e o navegador do visitante.
O principal objetivo do TLS é dar privacidade e garantir a integridade dos dados entre duas aplicações de computador.
Uma vez que o cliente e o servidor estabelecem a primeira conexão e concordam em usar o TLS, negociam uma conexão a partir de um procedimento conhecido como handshaking (aperto de mãos).
Durante o aperto de mãos, as duas pontas concordam com certos parâmetros, usados para estabelecer a segurança da conexão.
O procedimento tem por objetivo trafegar dados de forma privada (ou segura) com uso de um sistema de criptografa simétrica.

Por que criptografar os dados é importante para o seu site

É importante deixar claro que o protocolo SSL/TLS não criptografa dados armazenados, mas apenas os que estiverem em tráfego entre o servidor e o visitante.

Com este procedimento, você aumenta as condições de segurança e privacidade dos seus leitores.

Em vez de acessar o site em HTTP, seus leitores passam a acessá-lo via HTTPS, uma versão mais segura do protocolo padrão da web.
Entre os dados que passarão a ser melhor protegidos, constam:

  • o conteúdo do site enquanto ele estiver em tráfego
  • dados que o visitante deseja enviar para o servidor, documentos, cartão de crédito etc.
  • senhas de acesso ao site, de administradores(as), editoras(es) etc.

Se você é blogueiro(a) e realiza atividades administrativas no seu site, fora da sua casa, usando o wi-fi de outros locais, certamente, deveria considerar o uso desta camada adicional de proteção.
Se você tem um site de e-commerce ou comércio eletrônico, provavelmente está perdendo clientes que se preocupam com a segurança.
Obviamente, adotar o HTTPS, somente, não resolve todos os seus problemas de segurança.
Mas é um dos procedimentos mais simples e (atualmente) é gratuito (só custa o seu tempo).

É um primeiro passo de um conjunto de ações que compõem uma necessária política de segurança.

Se as informações forem interceptadas durante o tráfego, elas estarão “embaralhadas” aos olhos do intruso.

Como proceder para começar a usar o HTTPS no site

Atualmente, a maioria dos provedores de hospedagem oferecem a opções pagas e gratuitas de certificação SSL/TLS.
Se estiver disponível, use a gratuita.
Provedores, como o Dreamhost, oferecem a opção “Let’s Encrypt“, que é grátis, confiável e implementa a mudança automaticamente.
dreamhost ssl tls encryption
Existe também a opção “Self-signed“, voltada para sites em teste ou para uso de um grupo restrito — em resumo, só serve para quem sabe o que está fazendo.
Se você tiver dúvidas, contate o suporte da hospedagem ou consulte um usuário mais experiente.

Referências

Link para o site de hospedagem web do DreamHost.

Como descobrir a versão do Apache em execução

É possível descobrir facilmente a versão em uso do servidor web Apache, tanto localmente como remotamente. Neste texto, vou mostrar alguns métodos simples para determinar qual a versão usada, desde que ela não esteja oculta.
Apache logo
Clique nos links para se aprofundar mais em algum assunto.

Como obter a versão do Apache localmente

Ao terminar de instalar um servidor LAMP (Linux, PHP, MySQL e Apache), é comum executar um teste ao final, para verificar se tudo está funcionando adequadamente — com o uso da função phpinfo().
Você também pode abrir um terminal e executar o Apache com opções de exibição de informações:

httpd -v

ou

apache2 -v

ou, ainda,

apachectl -v

Em qualquer um dos casos, o resultado deve ser semelhante a este:

Server version: Apache/2.4.7 (Ubuntu)
Server built:   Jul 22 2014 14:36:38

Estes comandos podem ser executados localmente ou em um servidor remoto ao qual você tenha acesso (via SSH, por exemplo).

Use o comando HEAD para obter informações sobre o Apache

O comando HEAD pode ser usado localmente. Mas ele é especialmente útil para obter informações sobre um servidor web remoto.
Experimente:

HEAD http://apache.org

O resultado desejado aparece no meio da listagem:

200 OK
Cache-Control: max-age=3600
Connection: close
Date: Mon, 09 Mar 2015 19:37:32 GMT
Accept-Ranges: bytes
ETag: "a259-510dfc9e07e99"
Server: Apache/2.4.12 (Unix) OpenSSL/1.0.1l
Vary: Accept-Encoding
Content-Length: 41561
Content-Type: text/html
Expires: Mon, 09 Mar 2015 20:37:32 GMT
Last-Modified: Mon, 09 Mar 2015 19:10:34 GMT
Client-Date: Mon, 09 Mar 2015 19:35:29 GMT
Client-Response-Num: 1

Se você tiver o curl instalado, também pode usá-lo para obter o resultado. Veja:

curl --head http://apache.org

A informação sobre a versão Apache, usada aparece já nas primeiras linhas:

HTTP/1.1 200 OK
Date: Mon, 09 Mar 2015 19:44:33 GMT
Server: Apache/2.4.7 (Ubuntu)
Last-Modified: Mon, 09 Mar 2015 19:10:34 GMT
ETag: "a259-510dfc9e07e99"
Accept-Ranges: bytes
Content-Length: 41561
Vary: Accept-Encoding
Cache-Control: max-age=3600
Expires: Mon, 09 Mar 2015 20:44:33 GMT
Content-Type: text/html

Captur de tela da execução do comando HEAD.
Use o comando grep, para ver apenas o que interessa:

curl --head http://apache.org | grep -i server
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0 41561    0     0    0     0      0      0 --:--:--  0:00:01 --:--:--     0
Server: Apache/2.4.7 (Ubuntu)

ou, ainda

HEAD http://apache.org | grep -i server
Server: Apache/2.4.7 (Ubuntu)

Por questões de segurança, é comum administradores ocultarem este tipo de informação ao público. Por este motivo, é possível que alguns servidores não a disponibilizem — Leia mais, sobre como inibir estas informações no seu servidor web Apache.

Melhore o desempenho do Firefox, ativando o cache HTTP

O HTTP CACHE é um recurso presente nas últimas versões do Firefox, que pode melhorar sensivelmente o desempenho do navegador.
Embora disponível no seu navegador, o recurso HTTP CACHE ainda é experimental e, portanto, vem desativado.
A promessa é que ele venha habilitado, por padrão, nas futuras versões do navegador da Mozilla.
Neste texto, vou mostrar como ativá-lo.
Se notar que o recurso está causando algum problema pra você, basta fazer o caminho inverso e desativá-lo.

  1. Clique na barra de endereços do Firefox e tecle o seguinte endereço:
    about:config

    Em seguida, tecle Enter.

  2. Localize o item browser.cache.use_new_backend.
  3. Uma vez localizado, clique 2 vezes sobre ele e altere o seu valor de 0 para 1.

Ubuntu Firefox http cache
Clique para ampliar.

Tão logo você faça a alteração, o recurso já estará habilitado — não há necessidade de reiniciar o Firefox.
O recurso funciona também na versão Android do navegador.
Se você quiser, mais tarde, desfazer a alteração, basta retornar o valor de 1 para 0.
Compartilhe! 😉