Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Protegendo o Nginx com HTTPS: Um Guia Passo a Passo

Aprenda a proteger seu servidor web Nginx com HTTPS neste guia passo a passo abrangente. Cobrimos como obter certificados SSL/TLS gratuitos do Let's Encrypt usando o Certbot, configurando o Nginx para conexões criptografadas e implementando medidas essenciais de segurança como HSTS. Proteja seus dados, construa a confiança do usuário e melhore o SEO com uma configuração HTTPS adequada.

73 visualizações

Protegendo o Nginx com HTTPS: Um Guia Passo a Passo

No panorama digital atual, a segurança é fundamental. Habilitar o HTTPS (Hypertext Transfer Protocol Secure) no seu servidor web Nginx não é mais opcional; é um requisito fundamental para proteger dados sensíveis, construir a confiança do utilizador e melhorar a classificação do seu website nos motores de busca. O HTTPS encripta a comunicação entre o navegador de um utilizador e o seu servidor, prevenindo a interceção e garantindo a integridade da informação transmitida.

Este guia irá conduzi-lo pelos passos essenciais para proteger o seu servidor Nginx com um certificado SSL/TLS, habilitando o HTTPS. Abordaremos a obtenção de um certificado, a configuração do Nginx para utilizá-lo e a realização de uma verificação básica para garantir que tudo está a funcionar corretamente. No final deste guia, terá uma presença web mais segura e fiável.

1. Compreendendo os Certificados SSL/TLS

Antes de mergulharmos na configuração, vamos abordar brevemente o que são os certificados SSL/TLS. Um certificado SSL/TLS é um certificado digital que autentica a identidade de um website e permite uma ligação encriptada. Quando um navegador se conecta a um website usando HTTPS, ele verifica o certificado do website para confirmar a sua autenticidade e estabelecer um canal seguro e encriptado.

Existem vários tipos de certificados, mas para a maioria dos websites, um certificado de Validação de Domínio (DV) é suficiente. Este tipo de certificado verifica se o requerente controla o nome de domínio, mas não realiza verificações extensas sobre a organização por trás do domínio.

2. Obtenção de um Certificado SSL/TLS

Existem duas formas principais de obter um certificado SSL/TLS para o seu servidor Nginx:

  • Let's Encrypt (Gratuito e Automatizado): O Let's Encrypt é uma autoridade de certificação gratuita, automatizada e aberta. É altamente recomendado para a maioria dos utilizadores devido à sua facilidade de uso e rentabilidade. Pode automatizar o processo de obtenção e renovação de certificados utilizando ferramentas como o Certbot.
  • Autoridades de Certificação Comerciais (Pagos): Também pode comprar certificados de ACs comerciais como Comodo, DigiCert ou GoDaddy. Estas geralmente oferecem certificados de Validação Estendida (EV) ou Validação de Organização (OV), que fornecem um nível mais alto de confiança, mas vêm com um custo e um processo de validação mais complexo.

Para este guia, vamos focar-nos na utilização do Let's Encrypt com o Certbot, pois é o método mais acessível e amplamente adotado.

2.1 Instalando o Certbot

O Certbot é um cliente que automatiza o processo de obtenção e renovação de certificados Let's Encrypt. O processo de instalação varia ligeiramente dependendo do seu sistema operativo e configuração do Nginx.

Para Debian/Ubuntu:

sudo apt update
sudo apt install certbot python3-certbot-nginx

Para CentOS/RHEL/Fedora:

sudo yum install epel-release
sudo yum install certbot python3-certbot-nginx

Nota Importante: Certifique-se de que o seu Nginx está a funcionar e acessível através do seu nome de domínio via HTTP antes de prosseguir. O Certbot precisa de comunicar com o seu servidor para verificar a propriedade do domínio.

2.2 Obtendo o Seu Certificado com o Certbot

Assim que o Certbot estiver instalado, pode usá-lo para obter um certificado para o seu domínio. O Certbot pode configurar automaticamente o Nginx por si.

Navegue até ao seu diretório de configuração do Nginx. O caminho exato pode variar, mas é geralmente /etc/nginx/sites-available/.

Execute o seguinte comando, substituindo your_domain.com e www.your_domain.com pelos seus nomes de domínio reais:

sudo certbot --nginx -d your_domain.com -d www.your_domain.com

O Certbot irá então:

  1. Pedir o seu endereço de email: Isto é usado para avisos importantes de renovação e alertas de segurança.
  2. Pedir que concorde com os Termos de Serviço: Leia e concorde.
  3. Perguntar se deseja partilhar o seu email com o EFF: Opcional.
  4. Detetar os seus hosts virtuais Nginx existentes: Irá listar os domínios que encontrou.
  5. Perguntar como deseja lidar com o HTTPS: Terá tipicamente duas opções:
    • 1: Sem redirecionamento - Servir tanto HTTP quanto HTTPS, mas sem redirecionar o tráfego HTTP para HTTPS.
    • 2: Redirecionar - Redirecionar automaticamente todo o tráfego HTTP para HTTPS. Esta é a opção recomendada para a maioria dos utilizadores.

Escolha a opção 2 para uma configuração mais segura.

Se for bem-sucedido, o Certbot irá informá-lo de que o seu certificado foi instalado e configurará a renovação automática.

3. Verificando a Sua Configuração do Nginx

Depois de o Certbot ser executado, ele modifica automaticamente os seus ficheiros de configuração do Nginx para usar o novo certificado SSL/TLS e configura o redirecionamento, caso tenha escolhido essa opção.

3.1 Verificando os Ficheiros de Configuração do Nginx

Pode examinar o ficheiro de configuração do Nginx para o seu site (por exemplo, /etc/nginx/sites-available/your_domain.com) para ver as alterações. Deve encontrar diretivas como:

server {
    listen 80;
    server_name your_domain.com www.your_domain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name your_domain.com www.your_domain.com;

    ssl_certificate /etc/letsencrypt/live/your_domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain.com/privkey.pem;

    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    # ... outras configurações para o seu site ...
}
  • O primeiro bloco server escuta na porta 80 (HTTP) e redireciona todos os pedidos para HTTPS.
  • O segundo bloco server escuta na porta 443 (SSL/TLS) e especifica os caminhos para o seu certificado (ssl_certificate) e chave privada (ssl_certificate_key).
  • include /etc/letsencrypt/options-ssl-nginx.conf; inclui parâmetros SSL recomendados para o Nginx.
  • ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; é usado para a troca de parâmetros Diffie-Hellman, melhorando a segurança.

3.2 Testando a Configuração do Nginx

Antes de recarregar o Nginx, é crucial testar a sua configuração em busca de erros de sintaxe:

sudo nginx -t

Se o teste for bem-sucedido, verá um output como:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

3.3 Recarregando o Nginx

Assim que o teste de configuração for aprovado, recarregue o Nginx para aplicar as alterações:

sudo systemctl reload nginx

3.4 Verificando o HTTPS no Seu Navegador

Abra o seu navegador web e navegue para o seu domínio usando https://your_domain.com. Deve ver um ícone de cadeado na barra de endereço, indicando uma ligação segura. Clicar no cadeado fornecerá frequentemente detalhes sobre o certificado.

4. Renovação Automática

Os certificados Let's Encrypt são válidos por 90 dias. O Certbot configura automaticamente um serviço de sistema (geralmente um cron job ou timer do systemd) para renovar os seus certificados antes que expirem. Pode testar o processo de renovação sem realmente renovar o certificado, executando:

sudo certbot renew --dry-run

Este comando simula o processo de renovação e irá alertá-lo para quaisquer potenciais problemas.

5. Configuração SSL/TLS Avançada (Opcional)

Embora o Certbot lide com grande parte da configuração básica, pode querer ajustar as suas definições SSL/TLS para maior segurança ou desempenho.

5.1 Versões do Protocolo SSL

É uma boa prática desativar versões mais antigas e inseguras do protocolo SSL/TLS, como SSLv2 e SSLv3, e também TLSv1.0 e TLSv1.1. Navegadores e servidores modernos suportam TLSv1.2 e TLSv1.3.

Adicione ou modifique a diretiva ssl_protocols no seu bloco server (dentro da configuração 443 ssl):

ssl_protocols TLSv1.2 TLSv1.3;

5.2 Suites de Cifras

As suites de cifras determinam os algoritmos de encriptação usados para a ligação SSL/TLS. Pode especificar suites de cifras preferenciais para garantir uma encriptação forte.

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers off;

Dica: Pode usar ferramentas online como o Mozilla SSL Configuration Generator para gerar configurações SSL recomendadas e adaptadas às capacidades do seu servidor.

5.3 HSTS (HTTP Strict Transport Security)

O HSTS é um recurso de segurança que força os navegadores a interagir com o seu website apenas via HTTPS. Assim que um navegador visitar o seu site com o HSTS ativado, ele usará automaticamente o HTTPS em todas as futuras visitas, mesmo que o utilizador digite http:// ou clique num link http://.

Para ativar o HSTS, adicione o seguinte ao seu bloco server a escutar na porta 443:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
  • max-age=31536000: Define a duração durante a qual o navegador deve lembrar-se de usar apenas HTTPS (31.536.000 segundos = 1 ano).
  • includeSubDomains: Aplica a política HSTS a todos os subdomínios.

Aviso: Ative o HSTS com cautela. Depois de definido, pode ser difícil reverter. Comece com um valor max-age curto (por exemplo, 1 hora) durante os testes. Certifique-se de que o seu HTTPS está a funcionar perfeitamente antes de definir um max-age longo.

6. Resolução de Problemas Comuns

  • O Certbot falha ao verificar o Domínio:
    • Certifique-se de que os registos DNS do seu domínio estão a apontar corretamente para o endereço IP do seu servidor.
    • Verifique se o Nginx está a funcionar e acessível via HTTP na porta 80.
    • Verifique as regras da firewall para garantir que a porta 80 está aberta.
  • O Nginx falha ao Recarregar:
    • Execute sudo nginx -t para identificar erros de sintaxe nos seus ficheiros de configuração.
    • Verifique os logs de erro do Nginx (/var/log/nginx/error.log).
  • Website Não Acessível via HTTPS:
    • Certifique-se de que a porta 443 está aberta na sua firewall.
    • Verifique se a diretiva listen 443 ssl; está presente e correta.
    • Verifique se os caminhos para ssl_certificate e ssl_certificate_key estão corretos.

Conclusão

Proteger o seu servidor Nginx com HTTPS é um passo crucial para construir uma presença online fiável e segura. Ao seguir este guia, aprendeu a obter e configurar certificados SSL/TLS, automatizar renovações e implementar melhorias básicas de segurança. Rever regularmente a sua configuração SSL/TLS e manter o software do seu servidor atualizado são práticas essenciais para manter uma segurança robusta.

A implementação do HTTPS é um passo significativo na gestão moderna de servidores web. Não só protege os dados dos seus utilizadores, mas também impacta positivamente a reputação do seu site e a visibilidade nos motores de busca. Continue a explorar configurações avançadas do Nginx e as melhores práticas de segurança para aprimorar ainda mais o desempenho e a resiliência do seu servidor.