A privacidade dos usuários é um assunto cada vez mais em evidência. E sempre que falamos disso é importante entender o papel do certificado SSL e como ele protege os usuários.
Depois do escândalo da NSA — agência americana que espionava usuários de todo mundo — e muitos outros que envolveram o vazamento de dados pessoais, as empresas gigantes de tecnologia têm adotado uma série de medidas visando oferecer mais segurança e privacidade aos seus usuários.
A gigante de buscas Google tem desenvolvido um trabalho no sentido de incentivar a adoção de tecnologias mais seguras por parte de todos os sites da internet. Dentre os esforços do Google está a adoção do protocolo HTTPS.
O HTTPS tem como objetivo criptografar a conexão para evitar que dados sejam vazados ou os usuários tenham sua privacidade violada por agências governamentais, pessoas mal-intencionadas e hackers.
O protocolo HTTP, precursor da internet, não oferece nenhum tipo de segurança, assim como ocorre com o FTP. Todas as informações trocadas entre o servidor de hospedagem de site e o computador do usuário pode ser interceptada facilmente usando diversas técnicas diferentes.
É por esse motivo que surgiu a tecnologia HTTPS, que seria a evolução do HTTP. Ele torna toda a troca de informações segura, criptografando todos os dados que trafegam pela rede. Tornando assim a transferência segura e dificultando qualquer tipo de interceptação do tráfego.
O que é SSL?
SSL (Secure Sockets Layer) e seu sucessor, TLS (Transport Layer Security), são protocolos projetados para estabelecer conexões protegidas e criptografadas entre computadores através de uma rede. Embora o protocolo SSL tenha sido descontinuado com o lançamento do TLS 1.0 em 1999, ainda é comum se referir a essas tecnologias relacionadas como “SSL” ou “SSL/TLS”. A versão mais recente do protocolo é o TLS 1.3, definido pela especificação RFC 8446 (agosto de 2018).
O protocolo SSL/TLS permite estabelecer uma conexão segura de forma projetada a evitar espionagem ou roubo de informações. Desse modo, os sites com a tecnologia HTTPS são capazes de estabelecer conexões baseadas no protocolo TLS e assim evitar o vazamento de toda e qualquer informação.
O que é um certificado SSL?
Um certificado SSL é um arquivo que contém informações importantes para verificar o proprietário de um site e criptografar a conexão da web com SSL/TLS. Os certificados SSL permitem que os sites mudem de HTTP para HTTPS , versão mais segura e com camada de criptografia do protocolo web.
De forma resumida, o certificado SSL é responsável por garantir que a conexão está sendo realizada com o servidor legítimo do site e não um intermediário que está se passando pelo servidor real. O certificado SSL é um arquivo que contém as informações necessárias para o navegador ser capaz de identificar o servidor legítimo do site.
Não é apenas isso, ele também garante que nenhuma informação poderá ser roubada neste percurso da rede até a hospedagem de site. Todos os dados trafegam utilizando uma criptografia muito forte que só pode ser quebrada por quem possui este certificado SSL.
Na prática, o certificado SSL funciona como uma chave para proteger as informações com criptografia. Como somente o proprietário tem o certificado, é impossível que qualquer outra pessoa consiga ler as informações trafegadas pela rede.
Diferença entre SSL e TLS
Você provavelmente tenha visto algumas empresas venderem certificados SSL e outras vendendo certificados TLS. Isso sempre gera muitas dúvidas sobre qual a diferença entre estes certificados e qual deles é o melhor.
Na verdade, estes dois tipos de certificados são exatamente iguais. As empresas quando se referem ao SSL estão na verdade falando de um certificado que funciona tanto em SSL quanto em TLS. O termo SSL é muito mais popular, por esse motivo acaba sendo adotado com mais frequência pelas empresas de tecnologia.
Portanto, as empresas que vendem certificado SSL estão na verdade vendendo o certificado SSL/TLS. Porém a grande maioria dos servidores de hospedagem de site adotam o protocolo de criptografia TLS.
O SSL foi desenvolvido originalmente pela Netscape e foi visto a primeira em 1995 com a versão 2.0 — a versão 1.0 nunca foi lançada ao público — e não demorou muito, em 1996, foi substituído pela versão SSL 3.0 devido a uma série de vulnerabilidades encontradas na versão antecessora.
O TLS foi introduzido em 1999 como uma nova versão do SSL e foi baseado no SSL 3.0. As diferenças entre esse protocolo e o SSL 3.0 não são dramáticas, mas são significativas o suficiente para que o TLS 1.0 e o SSL 3.0 não interoperem.
Você não precisa usar um certificado TLS contra um certificado SSL. Enquanto muitos fornecedores tendem a usar a frase “Certificado SSL / TLS”, pode ser mais preciso chamá-los de “Certificados para uso com SSL e TLS”. Isso ocorre porque os protocolos da conexão são determinados pela configuração do servidor de hospedagem de sites, não pelos próprios certificados.
É provável que você continue a ver os certificados sendo vendidos como Certificado SSL, porque, nesse ponto, esse é o termo com o qual mais pessoas estão familiarizadas. Mas estamos começando a ver o aumento do uso do termo TLS em todo o setor. O SSL / TLS é um compromisso comum até que mais pessoas se familiarizem com o termo TLS.
Como funciona a criptografia SSL
Veja como funciona a criptografia SSL/TLS:
- Navegador se conecta a um servidor web (site) protegido por SSL/TLS (https). O navegador solicita que o servidor se identifique.
- O servidor envia uma cópia de seu certificado SSL, incluindo a chave pública do servidor.
- O navegador verifica a raiz do certificado em uma lista de CAs confiáveis e se o certificado não é expirado, não foi revogado e se seu nome comum é válido para o site ao qual está se conectando. Se o navegador confiar no certificado, ele cria, criptografa e envia de volta uma chave de sessão simétrica usando a chave pública do servidor.
- O servidor descriptografa a chave de sessão simétrica usando sua chave privada. E depois envia de volta uma confirmação criptografada com a chave de sessão para iniciar a conexão criptografada.
- Servidor e Navegador agora criptografam todos os dados transmitidos com a chave de sessão.
Tipos de certificado SSL
Certificados Extended Validation (EV) e Organization Validated (OV) são amplamente usados por organizações que desejam fornecer a seus clientes online uma tecnologia de criptografia forte e garantia de identidade.
A criptografia garante que os dados do cliente, como informações de cartão de crédito e senhas, não possam ser roubados à medida que são transmitidos. A garantia de identidade dá aos visitantes do site a capacidade de identificar que o site em que eles estão é legítimo.
A quantidade de verificações por trás dos vários tipos de certificados é refletida nas variações de preços. O aumento da verificação, particularmente para os certificados EV e OV, é o que torna esses certificados de alta garantia mais caros.
Certificados Validador Estendida (EV)
Os certificados EV são preferidos pela maioria dos usuários online porque eles vêm com a verificação mais abrangente. O certificado EV inclui a verificação de domínio, bem como verificação cruzada que vincula a entidade a um local físico específico do responsável pelo site.
Esse tipo de verificação inclui uma série de informações no certificado do site, fornecendo aos clientes recursos, caso ocorra uma fraude durante a transação no site. Certificados de EV são distinguidos com um cadeado fechado, nome da organização e, por vezes, o ID do país na barra de endereços da web na maioria dos principais navegadores.
Apesar de ser o mais caro e burocrático de todos, é uma excelente opção por transmitir mais confiança para o visitante do site. Estes certificados são item obrigatório para aqueles sites “críticos” que sofrem frequentemente com tentativas de fraudes.
Instituições financeiras, que são extremamente visadas para falsificação de sites (phishing), utilizam este tipo de certificado porque assim os clientes sabem que estão acessando o site que realmente pertence ao banco. Ou seja, este certificado garante que aquele site pertence realmente a aquela instituição.
Certificados Validador da Organização (OV)
Para os certificados OV, além da propriedade do domínio, a organização é validada e os detalhes do certificado podem ser visualizados na maioria dos principais navegadores da Web, dando aos usuários on-line a oportunidade de determinar se o site em que estão é legítimo.
O certificado de validação da organização (OV) é muito indicado para sites de e-commerce e empresas em geral. Com este certificado o visitante pode ter a certeza que o site pertence realmente a empresa que diz ser. Das opções de certificados que permitem a validação não apenas do domínio, como também do proprietário do mesmo, essa é a opção mais barata.
É por esse motivo que a grande maioria das empresas e lojas virtuais optam por este tipo de certificado. O Brasil é o campeão em fraudes online, com isso os consumidores ficam cada vez mais receosos de comprar pela internet. Com um certificado do tipo OV é possível transmitir muito mais confiança para esses clientes.
Certificados validador de domínio (DV)
Esses certificados validam apenas a propriedade do domínio, podem ser adquiridos anonimamente e não vinculam um domínio a uma pessoa, local ou entidade. Um site seguro com um certificado DV oferece apenas um cadeado bloqueado na barra de endereços, mas não mostra detalhes da organização no certificado porque eles não existem.
Este é o tipo de certificado mais popular e barato da internet. Também o que tem o processo de validação mais simples entre todos os certificados. Como a validação é de domínio, basta você comprovar que você é administrador do domínio para ter o certificado validado.
Geralmente o processo de validação desses certificados é automatizado e não existe nenhum tipo de validação pessoal ou entrega de documentos. Basta você inserir alguma informação no servidor de hospedagem do seu site para que eles tenham certeza que você é o proprietário do domínio.
Vantagens de usar um certificado SSL
As vantagens de usar um certificado SSL são muitas. E a desvantagem acaba sendo o preço em alguns casos, mesmo assim deve ser levado como investimento. Entre as principais vantagens de se utilizar um certificado SSL podemos citar:
1. SSL Protege Dados
A função principal de um certificado SSL é proteger a comunicação servidor-cliente. Ao instalar o SSL, toda informação é criptografada. Em termos leigos, os dados são bloqueados e só podem ser desbloqueados pelo destinatário pretendido (navegador ou servidor), pois ninguém mais pode ter a chave armazenada no certificado para abri-lo.
Ao lidar com dados confidenciais, como CPF, senhas, números de cartão de crédito e etc, o SSL é extremamente eficiente para proteger estes dados de hackers e fraudadores. À medida que os dados são transformados no formato indecifrável pelo SSL, até mesmo um hacker muito habilidoso e com vasto conhecimento técnico não conseguiria quebrar essa proteção do TLS.
2. SSL Afirma Sua Identidade
A segunda tarefa principal de um certificado SSL é fornecer autenticidade a um site. A verificação de identidade é um dos aspectos mais importantes no que diz respeito à segurança da web. Não há dúvida sobre o fato de que a internet está cada vez mais repleta de fraudes e tentativas de roubar dados das pessoas.
São criadas páginas falsas de empresas divulgando promoções falsas. Sites de bancos são clonados para criar sites que se passam pelas instituições financeiras. É aí que entra o certificado SSL!
Quando você deseja instalar um certificado SSL precisa passar por um processo de validação definido por um terceiro independente chamado Autoridade de Certificação (CA, em inglês). Dependendo do tipo de certificado, a CA verifica sua identidade pessoal e da sua organização.
Depois de provar sua identidade, seu site recebe indicadores de confiança que atestam sua integridade e veracidade. Quando o usuário vê um certificado, pode ter certeza que você é realmente quem diz ser.
Pense nisso como contas verificadas no Twitter. A única diferença aqui é que você é obrigado a verificar a identidade do seu site, em vez da sua conta do Twitter. Essa verificação garante que nenhum impostor crie um site falso fingindo ser o seu. Em termos técnicos, essa fraude é chamada de phishing e é extremamente comum no Brasil.
Assim, o SSL ajuda os usuários a reconhecer o site real, salvando assim os usuários contra fraudes e também aumenta a confiança em sua marca.
3. Melhor ranking do Search Engine
Em 2014, o Google fez alterações em seu algoritmo para dar prioridade a sites habilitados para HTTPS. Isso ficou evidente em vários estudos conduzidos por especialistas em SEO em todo o mundo. Um desses estudos conduzidos por Brian Dean, fundador da Backlinko.com, mostra uma forte correlação entre o HTTPS e classificações mais elevadas nos mecanismos de busca.
Levando em consideração de que a grande maioria das pessoas dependem do Google para conseguir visitantes e para isso precisam estar bem classificados, o certificado SSL se faz algo indispensável. Por esse motivo podemos afirmar que o certificado, de certa forma, influencia no SEO do seu site, pois o Google dá um peso grande na classificação para sites que usam a tecnologia HTTPS.
4. SSL ajuda você a satisfazer os requisitos PCI / DSS
Se você aceita pagamentos online, deverá saber uma coisa ou duas sobre os requisitos de PCI / DSS. Para receber pagamentos online, seu website deve ser compatível com PCI. O principal requisito é ter um certificado SSL instalado em seu site, conforme estabelecido pela indústria de cartões de pagamento (PCI).
Portanto, o SSL é essencial — quer você queira ou não — para sites de e-commerce ou que processam pagamentos. Não utilizar a conexão HTTPS seria como permitir que os dados de cartão de crédito trafegassem pela rede sem qualquer tipo de proteção. Isso deixa os clientes em risco eminente de ter os dados roubados caso utilize internet pública (que podem ser facilmente hackeadas) ou tenha algum vírus ou programa malicioso que intercepte o tráfego de rede.
5. SSL melhora a confiança do cliente
Além da criptografia e autenticidade, os certificados SSL são vitais do ponto de vista da confiança do cliente. Os sinais fáceis de identificar informam aos usuários que os dados que eles enviam estão protegidos. E se você instalou um certificado OV ou EV, os visitantes podem ver os detalhes da sua organização. Uma vez que eles saibam que você é uma entidade legítima, é muito mais provável que eles façam negócios com você.
Esse seria um dos grandes diferencias dos certificados SSL. A cada dia surgem centenas de novas empresas e lojas virtuais. A construção da confiança é um importante fator para fechar uma venda. E é por isso que você precisa ter um certificado OV ou EV em sua loja virtual ou site do seu negócio.
6. Chrome exibe seu site corretamente
Embora não seja um sinalizador de perigo, é um aviso exibido pelo Google Chrome. Qualquer leitor que tente visitar um site que não tenha um certificado SSL verá um aviso alertando que a conexão não é segura.
Tenha em mente que o Google Chrome é o navegador mais popular do mundo. As pessoas gostam de sua interface e adoram que isso seja muito seguro. Durante grande parte de sua vida, o Chrome carregou páginas criptografadas com um cadeado e a mensagem verde “Seguro” foi exibida.
Agora ao acessar um site que não tenha o certificado SSL é exibida uma mensagem de site não segura, o que pode gerar uma certa preocupação nos visitantes do seu site. É por esse motivo que você precisa instalar um certificado SSL em seu site para garantir que o cadeado verde será mostrado no navegador Chrome em vez de um aviso de site inseguro.
Certificado SSL é obrigatório?
Há algum tempo atrás a resposta seria “depende”. Porém, atualmente é possível responder seguramente que você precisa sim ter um certificado SSL porque a adoção do HTTPS em seu site é quase obrigatória.
Antigamente a obrigação de usar HTTPS era somente das lojas virtuais e sites que lidavam com formulários e pagamentos. Mas com as recentes atualizações do Chrome, ter um site HTTPS é de suma importância. É por isso que você precisa sim de um certificado SSL para usar a tecnologia mais segura e assim o Chrome não exibir nenhum tipo de aviso de site inseguro.
Seja qual for o tipo de site, blog ou loja virtual, a tecnologia HTTPS é indispensável não só por causa do aviso do navegador Chrome, mas também para dar mais segurança e privacidade para todos os visitantes do seu site.
No caso das lojas virtuais, onde o usuário precisa informar dados de cartão de crédito e uma série de outras informações pessoais, o certificado SSL/TLS é requerido para que os dados não sejam interceptados numa conexão insegura do tipo HTTP.
Quem precisa adquirir o certificado SSL
Todos os donos sites, blogs e lojas virtuais precisam adquirir um certificado SSL para proteger os dados dos usuários. No caso de sites e blogs ainda pode se utilizar versões gratuitas, mas para lojas virtuais é recomendável adquirir um certificado SSL.
O certificado SSL vai garantir que a conexão HTTPS ocorra e assim é possível proteger os dados e informações dos usuários que navegam em seu site.
Como saber se um site utiliza o certificado SSL
O teste mais simples é acessar o site e verificar a existência do cadeado como na imagem mostrada abaixo. Se este cadeado for exibido e nenhuma mensagem de site inseguro for exibida é porque o site utiliza o protocolo HTTPS e tem um certificado de segurança válido.
Com a nova atualização do Google Chrome é exibido um aviso quando um site não tem um certificado SSL válido e suporte ao SSL/TLS. Este é uma forma de deixar claro para o usuário que ele está acessando um site inseguro.
Outra forma bem interessante de testar se um site possui um certificado válido e também de receber uma série de feedbacks se existirem problemas de configuração (que tornam o site vulnerável a ataques nas versões antigas do SSL/TLS) basta seguir o passo a passo a seguir:
- Acesse o site ssllabs.
- Informe o endereço do seu site.
- Clique no botão Submit.
- Verifique se é exibida alguma mensagem de versão insegura do TLS/SSL.
Se estiver tudo certo com as configurações do seu site e com o certificado de segurança, você vai ver uma tela como a da imagem abaixo:
Quando um site não suporta o SSL/TLS essa ferramenta também avisa. A mensagem exibida caso o site não tenha suporte ao HTTPS será igual a mensagem da imagem abaixo:
A grande vantagem desta ferramenta é que ela fornece alguns feedbacks importantes sobre a segurança do servidor. Por esse motivo, é recomendado a todas as pessoas verificarem se seu site está corretamente configurado usando esta ferramenta.
No exemplo abaixo você pode verificar como são fornecidas várias informações importantes a respeito da configuração do servidor. No caso do site abaixo existe o certificado e o suporte ao HTTPS, porém ainda assim trata-se de um site inseguro por permitir a conexão através de versões inseguras do protocolo SSL e TLS.
Ou seja, ter um certificado não basta. É preciso que seu site esteja bem configurado. E isso fica por conta da hospedagem de sites ou de quem administra seu servidor.
Além de tudo esta ferramenta também fornece uma nota sobre a configuração do seu site. A melhor nota possível é A+, sendo que a nota “A” também já significa que seu site é seguro. Porém, se o seu site receber uma nota abaixo de “A” é preciso verificar junto ao administrador do servidor ou hospedagem de site a possibilidade de corrigir possíveis problemas ou falhas na configuração do protocolo SSL/TLS.
Certificado SSL grátis valem a pena?
É possível encontrar certificados SSL grátis na internet. Eles são uma boa opção para quem tem um site em HTTP e deseja adequar o site a tecnologia HTTPS sem gastar nada. Mas dizer que é uma boa opção não significa que seja a melhor para todos os casos.
Certificados grátis são sempre do tipo DV, ou seja, tem a função de validar apenas o domínio do site. Não existe qualquer tipo de validação da organização e não dá nenhuma garantia para o visitante que o site pertence aquela organização que diz ser.
Para deixar bem claro, certificados grátis são sim uma boa opção, apesar de terem algumas limitações — certificados grátis como o Let’s Encrypt precisam ser revalidados a cada 90 dias no máximo. E no caso do certificado grátis da CloudFlare você tem um certificado que pode ser compartilhado com até outros 50 sites.
Por esse motivo os certificados SSL grátis são recomendados para sites e blogs. Agora se você tem uma empresa e pretende fazer negócios em seu site, aceitar pagamento de cartão ou qualquer tipo de site que exija que os consumidores tenham confiança na sua organização, recomendamos o uso dos certificados pagos do tipo OV ou EV — que validam além do domínio a organização a qual ele pertence.
Como você viu uma das finalidades do certificado SSL é atestar que aquele domínio realmente pertence a uma determinada organização. Isso é importante para o cliente se sentirem num ambiente mais seguro e ter mais confiança em seu site para fazer compras. É por isso que não recomendamos a utilização dos certificados grátis para lojas virtuais e sites de e-commerce.
Agora para sites e blogs em geral recomendamos o uso de certificados grátis porque eles cumprem bem seu papel, que é garantir para o usuário que ele está se conectando ao domínio correto e não há um servidor intermediário que está roubando os dados do usuário.
Conclusão
Certificados de segurança estão cada vez mais populares e este é um assunto que está cada vez mais em evidencia, principalmente porque grandes empresas como o Google incentivam a adoção de tecnologias que deixam a internet um ambiente mais seguro.
É bom lembrar também que o certificado de segurança é um importante aliado do consumidor que tem cada vez mais medo de cair em fraudes tão comuns no ambiente virtual. Se antes os certificados SSL eram algo de luxo e adotado por poucos sites, agora virou um requisito obrigatório que deve ser adotada por todos os sites, blogs e lojas virtuais.
E não se esqueça de escolher o tipo correto de certificado de acordo com suas necessidades. É importante entender bem o funcionamento e as utilidades de um certificado SSL para escolher o que melhor se adequa às suas necessidades. A criação de um ambiente seguro e que passe confiança para os visitantes e clientes é de nossa inteira responsabilidade.
Fonte(s): Fonte 1