Compra de certificado seguro (SSL) para site seguro (https)

Compra do certificado SSL (para permitir acesso ao site com https)

Este foi o lugar mais barato que encontrei para comprar certificado SSL para certificado de site seguro (https):

http://www.cheapssls.com/
cheapssls.com (ou cheapssl.com) ou namecheap.com (este site Name Cheap também serve para fazer registro de domínios ".com")

Comprei certificado SSL seguro "Positive SSL" (PositiveSSL) expedido pela "Comodo CA" (Certificate Authority - entidade certificadora que faz a emissão do certificado) por $5.99/ano (se pagar adiantado alguns anos) ou $8.95 (se comprar apenas por 1 ano).
Tinha também o Rapid SSL (RapidSSL) com preço um pouco mais caro, $7.99/ano.
Paguei $29.95 por 5 anos, o que é muito barato mesmo. Fiz pagamento pelo PayPal, mas também aceitam cartão de crédito.

Funciona para o domínio com ou sem "www." na frente do nome.

Este é o site onde instalei o certificado que comprei:
https://www.inmailing.com.br ou https://inmailing.com.br/
Aparece corretamente a chave ssl, com o cadeado fechado, cor verde, mostrando que está válido e é seguro.
OBS: InMailing é uma ferramenta de email marketing para envio de newsletters e emails para listas com grande quantidade de destinatários. Desenvolvido pela Insite.

Ao gerar o certificado online pelo site onde comprei (cheapssls.com), selecionei:
Type: PositiveSSL
Common Name (FQDN): inmailing.com.br (nome do meu domínio onde instalei o servidor seguro)
Ao escolher o tipo de servidor web (select web server), selecionei "Other" na lista (mesmo meu servidor sendo o Apache).

Ao comprar, precisei aguardar um pouco para eles configurarem o certificado, aparecendo esta mensagem no painel de controle:
Description: "You certificate is configured and queued for purchase"
Certificate Status: INPROGRESS

Após alguns minutos recebi o email de confirmação e o arquivo com certificado seguro para instalar o ssl no meu servidor web.

DICAS:

  • Se quiser testar o certificado antes de comprar, pode-se utilizar o certificado grátis por tempo limitado (procure por 90 Day Free SSL Certificates).
  • Ao passar o período de uso do certificado (ex: 1 ano), costuma ser bem mais barato comprar um novo do que renovar.
  • Se comprar o certificado diretamente no site da Comodo o preço é muito maior (ex: acima de US$65/ano) do que no cheapssl.com (ou cheapssls.com). O site positivessl.com também vende mas cobra mais caro.
  • Não aceite nenhum "free upgrade" (pois vão tentar te vender depois de 1 ano) nem outras "ofertas grátis por tempo limitado" fornecidas pela Comodo como: "EV SSL Certificate" (é mais caro e não tem diferença de segurança em relação ao certificado comum), "HackerGuardian PCI Scanning", "Comodo HackerProof" (website vulnerability scanning service), "GeekBuddy", etc.
  • Se precisar fazer o certificado funcionar com múltiplos sub-domínios (ex: subdominio.meusite.com, outrosubdominio.meusite.com, etc), então precisa comprar e instalar um certificado do tipo SSL wildcard certificate (ex: PositeveSSL Wildcard) que é um pouco mais caro (entre US$80 e US$90 por ano), mas funciona para todos os subdomínios do site seguro.

Tela de compra do certificado seguro:

Como fazer a instalação do Certificado SSL:

No meu servidor linux da Amazon (EC2 AWS) executei os seguintes comandos como usuário root:

# Instalar módulo do Apache para permitir uso do SSL (https).
yum install mod_ssl

# Comando para gerar o arquivo CSR - Certificate Signing Request (server.scr) e o Private Key (myserver.key):
openssl req -nodes -newkey rsa:2048 -keyout myserver.key -out server.csr

O conteúdo deste arquivo "server.csr" deve ser utilizado para finalizar a compra e registro do certificado (colar no campo "Enter CSR").

Após finalizar a compra, o provedor do certificado envia os seguintes arquivos para serem instalados no servidor:
PositiveSSLCA2.crt (Intermediate CA Certificate)
AddTrustExternalCARoot.crt (Root CA Certificate)
(nome-do-seu-dominio).crt (Your SSL Certificate)

Os 2 primeiros arquivos são usados para gerar o arquivo usado pelo Apache (criar arquivo com extensão ".ca-bundle").
Basta juntar o conteúdo de todos em um único arquivo com nome "nome-do-meu-dominio.ca-bundle, colocando primeiro o "Intermediate CA" seguido pelo "Root CA"), com o comando:
cat PositiveSSLCA2.crt AddTrustExternalCARoot.crt > nome-do-meu-dominio.ca-bundle

Os arquivos abaixo são lidos pelo /etc/httpd/conf.d/ssl.conf, então criei link "ln -s" destes arquivos para os que comprei e gerei:
/etc/pki/tls/certs/localhost.crt (apontando para o arquivo que comprei "nome-do-meu-dominio.crt")
/etc/pki/tls/private/localhost.key (apontando para o arquivo que gerei "myserver.key")

Dentro da configuração do Apache usei os parâmetros:

<VirtualHost *:443>
(...configurações do servidor aqui...)
SSLEngine on
SSLCertificateKeyFile /path/myserver.key
SSLCertificateFile /path/nome-do-meu-dominio.crt
SSLCertificateChainFile /path/nome-do-meu-dominio.ca-bundle
</VirtualHost>

Se quiser apenas permitir acesso com SSL (https) sem precisar comprar nenhum certificado, é possível configurar o servidor para acesso pela porta 443 e para isso basta não adicionar as linhas começadas com "SSL" da configuração acima. Talvez seja preciso também criar um certificado próprio auto-assinado. O problema é que isso vai mostrar um alerta vermelho no browser com imagem do cadeado inválido, com informações do tipo: Este certificado raiz da autoridade de certificação não é confiável. Para ativar a confiabilidade, instale este certificado no repositório de autoridades de certificação raiz confiáveis.
O certificado de segurança do site não é confiável.
Você tentou acessar (site), mas o servidor apresentou um certificado emitido por uma entidade que não é confiável para o sistema operacional do seu computador. Isso pode significar que o servidor gerou suas próprias credenciais de segurança, nas quais o Google Chrome não pode confiar como informações de identidade ou que um invasor esteja tentando interceptar suas comunicações.


Em caso de erro:
Dependendo da versão do Apache, pode aparecer alguns dos seguintes erros ao reiniciar o httpd:

[error] Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] ((null):0)
ou
Starting httpd: [warn] _default_ VirtualHost overlap on port 443, the first has precedence

Se ocorrer este problema então altere a seguinte linha do arquivo "/etc/httpd/conf.d/ssl.conf":
Onde estava: Listen 443
Deve ficar: Listen 443 http

 

Fonte: http://centralinternet.postbit.com/compra-de-certificado-seguro-ssl-para-site-seguro-https.html

.