30/03/2018

Porque é que alguns certificados SSL são pagos e outros não?

Devido à divulgação pelo Google de que os sites a correr em servidor seguro iriam receber benefícios em SEO, assistmos a uma pequena corrida aos certificados SSL. A propósito deste assunto assisti aqui há dias algures a uma recomendação de utilização de certificados SSL gratuitos, que estão disponíveis no Let’s Encrypt.

Uma conversa depois, com o meu parceiro de trabalho web Hélder Vasconcelos – que me fornece hosting para vários os sites – a conclusão foi esta: o próprio alojamento incluí um certificado muito fácil de activar pelo Cpanel. Mas como there’s no free lunch e eu já tinha comprado alguns certificados da Comodo, lá fiquei a desconfiar.

A questão é que estes certificados são self-signed: são assinados pelo próprio servidor. É como eu dizer à brigada de trânsito que tenho uma carta de condução válida e eles acreditarem em mim; ou verificarem através da carta de condução emitida pelo IMTT que de facto estou legalmente habilitado a conduzir.

Além disso ambos expiram passados 90 dias, pelo que é preciso emitir outra chave. Podemos ver aqui uma comparação entre certificados.

Quanto a estes resultados serem efectivamente uma mais valia em optimização para Google, aqui é que está o busílis da questão num excelente e pormenorizado artigo de James Parsons.

Em resumo, as desvantagens de um certificado SSL gratuito:
“It’s also worth noting that a SSL certificate that is self-signed […] will generally be added to a global list of compromised and revoked SSL certificates.”
“Even Google has a sliding scale of trust in various SSL certificates. Depending on the issuer of the certificate and the level of encryption, Google might or might not actually trust the certificate at all.” 
“Free SSL certificates are not issued to one specific agency; they’re generally shared amongst many domains and servers.”
Não tenho grandes dúvidas que o algoritmo do Google facilmente distingue entre um certificado SSL comprado e outro gratuito. Claro que nem toda a gente quererá pagar os cerca de 50€ anuais por um certificado, mas se em teoria já melhoramos tanto a optimização do site para o Google ao ponto em que ter um certificado é um factor importante, seria um risco deitar fora parte desse trabalho por este valor.

Se entretanto tiverem conhecimentos mais precisos e aprofundados desta matéria, ou outras fontes, por favor partilhar.

Sem comentários:

Enviar um comentário