SSL/TLS criptografa o tráfego entre clientes e seu servidor. Use versões modernas do protocolo e cifras fortes; automatize renovação e proteja chaves privadas para a hospedagem permanecer segura.
Versões TLS
- Use TLS 1.2 ou 1.3; desabilite TLS 1.0, 1.1 e SSLv3 (obsoletos e fracos).
- Configure o servidor (ou load balancer) para preferir a opção mais forte suportada; teste com SSL Labs.
Certificados e renovação
- Renovação automática (ex.: Let's Encrypt, ACME ou gerenciado pelo provedor) evita surpresas de expiração.
- Mantenha chaves privadas no servidor com permissões restritas; não as exponha nem as coloque em repositório.
- Para wildcard ou EV pode ser preciso uma CA comercial; garanta que a renovação esteja agendada ou automatizada.
Endurecimento
- HSTS: Diga aos browsers para usar só HTTPS; reduz risco de downgrade.
- Cifras fortes: Desabilite cifras fracas ou legadas; prefira forward secrecy.
- Mantenha o SO e as bibliotecas (OpenSSL, etc.) atualizados para corrigir vulnerabilidades conhecidas.
Resumo
Use TLS 1.2/1.3, desabilite protocolos antigos, prefira renovação automática e restrinja acesso às chaves. HSTS e cifras fortes melhoram a segurança; revise e teste a configuração com frequência.
