O que é um certificado SSL?
Certificado SSL é um certificado digital que autentica a identidade de um site e possibilita uma conexão criptografada. O termo “SSL” significa “Secure Sockets Layer” (camada de soquete seguro), um protocolo de segurança que cria um link criptografado entre um servidor Web e um navegador Web.
Empresas e organizações precisam adicionar certificados SSL aos seus sites para proteger as transações on-line e manter a privacidade e a segurança das informações dos clientes.
Resumindo: o SSL mantém a segurança das conexões de Internet e impede que criminosos leiam ou modifiquem as informações transferidas entre dois sistemas. Quando você vê um ícone de cadeado ao lado de um URL na barra de endereços, significa que este site que você está acessando usa o protocolo SSL como forma de proteção.
Desde quando começou a ser usado, há quase 25 anos, foram várias as versões do protocolo SSL e todas se depararam, em algum momento, com problemas de segurança. Uma versão renovada e renomeada veio a seguir, a TLS (Transport Layer Security, segurança de camada de transporte), que ainda é usada hoje em dia. No entanto, as iniciais SSL permaneceram, por isso a nova versão do protocolo ainda é comumente referida pelo antigo nome.
Como funciona o certificado SSL?
O SSL garante a impossibilidade de leitura de quaisquer dados transferidos entre usuários e sites ou entre dois sistemas. Ele usa criptografia de algoritmos para “embaralhar” dados em trânsito, o que impede a leitura por parte dos hackers durante a conexão. Entre esses dados, podem estar informações confidenciais, como nomes, endereços, números de cartão de crédito ou outros detalhes financeiros.
O processo funciona da seguinte forma:
- Um navegador ou servidor tenta se conectar a um site (por exemplo, um servidor Web) protegido por um certificado SSL.
- O navegador ou servidor solicita que esse servidor Web se identifique.
- Como resposta, o servidor Web envia uma cópia do seu certificado SSL para o navegador ou servidor.
- O navegador ou servidor verifica se o certificado SSL é de confiança. Se for, ele sinaliza isso ao servidor Web.
- O servidor Web retorna então uma confirmação assinada digitalmente para dar início a uma sessão criptografada por SSL.
- Os dados criptografados são compartilhados entre o navegador ou servidor e o servidor Web.
Algumas vezes, esse processo é chamado de “handshake SSL”. Embora pareça ser um processo demorado, ele leva milissegundos.
Quando um site é protegido por um certificado SSL, o acrônimo HTTPS (que, no inglês, significa “HyperText Transfer Protocol Secure”, ou seja, segurança de protocolo de transferência de hipertexto) aparece no URL. Sem o certificado SSL, apenas as letras HTTP (sem o S) aparecem. Um ícone de cadeado também é exibido na barra de endereços. Isso transmite confiança e oferece garantia para quem está visitando o site.
Para visualizar os detalhes de um certificado SSL, clique no símbolo de cadeado na barra do navegador. Entre os detalhes normalmente inclusos no certificado SSL estão:
- O nome do domínio para o qual o certificado foi emitido
- A pessoa, organização ou dispositivo para o qual ele foi emitido
- Qual autoridade de certificação o emitiu
- A assinatura digital da autoridade de certificação
- Subdomínios associados
- A data de emissão do certificado
- A data de expiração do certificado
- A chave pública (a chave privada não é revelada)
Por que você precisa de um certificado SSL
Os sites precisam de certificados SSL para manter a segurança dos dados dos usuários, verificar a propriedade do site, impedir que invasores criem uma versão fake do site e transmitir confiança aos usuários.
Se um site solicitar que os usuários façam login, insiram detalhes pessoais, como número de cartão de crédito, ou confiram informações confidenciais, como benefícios de saúde ou informações financeiras, será essencial manter esses dados confidenciais. O certificado SSL ajuda a manter a privacidade das interações on-line e garante aos usuários a autenticidade do site e a segurança para o compartilhamento de informações privadas.
O mais importante para as empresas é o fato de que um certificado SSL é exigido para um endereço Web HTTPS. O HTTPS é a forma segura do HTTP, ou seja, os sites HTTPS têm seu tráfego criptografado por um certificado SSL. A maioria dos navegadores identifica os sites HTTP (sem certificados SSL) como “não seguros”. Isso serve de sinal claro para os usuários de que o site pode não ser confiável, incentivando as empresas que ainda não migraram para o HTTPS que o façam.
Um certificado SSL ajuda a proteger informações, como:
- Credenciais de login
- Transações de cartão de crédito ou informações de conta bancária
- Informações de identificação pessoal, como nome completo, endereço, data de nascimento ou número de telefone
- Documentos legais e contratos
- Registros médicos
- Informações proprietárias
Tipos de certificado SSL
Existem diferentes tipos de certificados SSL com diferentes níveis de validação. São seis os tipos principais:
- Certificados de validação estendida (SSL EV)
- Certificados de validação de empresa (SSL OV)
- Certificados de validação de domínio (SSL DV)
- Certificados SSL curinga
- Certificados SSL de vários domínios (MDC)
- Certificados de comunicações unificadas (UCC)
Certificados de validação estendida (SSL EV)
Este é o tipo de certificado SSL de mais alto nível e o mais caro. Ele tende a ser usado por sites de grande importância que coletam dados e envolvem pagamentos on-line. Quando instalado, esse certificado SSL exibe o cadeado, o acrônimo HTTPS, o nome da empresa e o país na barra de endereços do navegador. A exibição das informações do proprietário do site na barra de endereços ajuda a distinguir o site de sites mal-intencionados. Para configurar um certificado SSL EV, o proprietário do site precisa passar por um processo padrão de verificação de identidade para confirmar que está autorizado legalmente a ter direitos exclusivos sobre o domínio.
Certificados de validação de empresa (SSL OV)
Essa versão de certificado SSL possui um nível semelhante de garantia do certificado SSL EV quanto à sua obtenção; o proprietário do site precisa completar um processo importante de validação. Esse tipo de certificado também exibe as informações do proprietário do site na barra de endereços para distinguir o sites de sites mal-intencionados. O certificado SSL OV tende a ser o segundo mais caro (perdendo apenas para o SSL EV). O principal objetivo dele é criptografar as informações confidenciais do usuário durante as transações. Sites comerciais e voltados ao público devem instalar um certificado SSL OV para garantir que todas as informações dos clientes permaneçam confidenciais.
Certificados de validação de domínio (SSL DV)
Como o processo de validação para obtenção do certificado SSL de validação de domínio é mínimo, ele oferece garantia e criptografia mínimas. Ele tende a ser usado em blogs ou sites informativos, ou seja, em sites que não envolvem coleta de dados ou pagamentos on-line. Esse tipo de certificado SSL é um dos mais baratos e mais rápidos de obter. O processo de validação requer somente que o proprietário do site comprove a propriedade do domínio respondendo a um e-mail ou uma chamada telefônica. A barra de endereços do navegador exibe somente o termo HTTPS e um cadeado, sem exibir o nome da empresa.
Certificados SSL curinga
O certificado SSL curinga permite proteger o domínio base e subdomínios ilimitados com um único certificado. Se você tiver vários subdomínios para proteger, a aquisição de um certificado SSL curinga valerá mais a pena em termos financeiros do que a compra de certificados SSL individuais para cada um deles. O certificado SSL curinga possui um asterisco * como parte do nome comum, onde o símbolo representa qualquer subdomínio válido com o mesmo domínio base. Por exemplo, um certificado curinga para *site pode ser usado para proteger:
- seudomínio.com
- seudomínio.com
- seudomínio.com
- seudomínio.com
- seudomínio.com
Certificados SSL de vários domínios (MDC)
O certificado de vários domínios pode ser usado para proteger muitos nomes de domínio e/ou subdomínios. Isso inclui a combinação de domínios completamente exclusivos e subdomínios com diferentes TLDs (Top-Level Domains, domínios primários), exceto locais/internos.
Por exemplo:
- exemplo.com
- org
- este-domínio.net
- qualquercoisa.com.br
- exemplo.com
- exemplo.org
Por padrão, o certificado de vários domínios não oferece suporte a subdomínios. Se você precisar proteger www.exemplo.com e exemplo.com usando um único certificado de vários domínios, os dois nomes de host deverão ser especificados durante a obtenção do certificado.
Certificados de comunicações unificadas (UCC)
O certificado de comunicações unificadas (UCC, Unified Communications Certificate) também é considerado um certificado SSL de vários domínios. Inicialmente, os UCCs foram criados para proteger os servidores Microsoft Exchange e Live Communications. Atualmente, qualquer proprietário de site pode usar esses certificados para proteger vários nomes de domínio usando um único certificado. Os certificados UCC são validados por organização e exibem um cadeado no navegador. Os UCCs também podem ser usados como certificados SSL EV para proporcionar aos visitantes do site a mais alta confiança com uma barra de endereços na cor verde.
É fundamental que você conheça os diferentes tipos de certificados SSL para obter o tipo certo de certificado para seu site.
Como obter um certificado SSL
Os certificados SSL podem ser obtidos com uma autoridade de certificação (CA, Certificate Authority). Além disso, as autoridades de certificação emitem milhões de certificados SSL todos os anos. Elas exercem um papel importante no modo como a Internet funciona e o quão transparente e confiáveis as interações on-line podem ser.
O custo de um certificado SSL pode variar entre zero e cem dólares, dependendo do nível de segurança que você precisa. Assim que decidir o tipo de certificado que precisa, você pode procurar pelos emissores de certificados, que oferecem SSLs no nível desejado.
A obtenção do seu SSL envolve estas etapas:
- Preparar-se, configurando o servidor e garantindo que seu registro WHOIS esteja atualizado e corresponda ao que você está enviando para a autoridade de certificação (precisa mostrar o nome e o endereço corretos da empresa etc.)
- Gerar uma solicitação de assinatura de certificado (Certificate Signing Request, solicitação de assinatura de certificado) no seu servidor. Esta é uma ação que sua empresa de hospedagem pode auxiliar você.
- Enviá-la à autoridade de certificação para validar os detalhes do seu domínio e da sua empresa.
- Instalar o certificado fornecido assim que o processo estiver concluído.
Assim que você obtiver o certificado, precisará configurá-lo no seu host Web ou em seus próprios servidores, caso você hospede o site.
A rapidez com que você recebe seu certificado depende do tipo de certificado adquirido e do fornecedor do qual você o adquiriu. O tempo de conclusão varia para cada nível de validação. Um certificado SSL de validação de domínio pode ser emitido em apenas alguns minutos depois de ser solicitado; já o de validação estendida pode demorar uma semana.
Um certificado SSL pode ser usado em vários servidores?
É possível usar um certificado SSL para vários domínios no mesmo servidor. Dependendo do fornecedor, você também pode usar um certificado SSL em vários servidores. Isso graças aos certificados SSL de vários domínios, dos quais já falamos.
Como o próprio nome já diz, os certificados SSL de vários domínios funcionam com vários domínios. O número diz respeito à autoridade de certificação emissora específica. Um certificado SSL de vários domínios é diferente de um certificado SSL de domínio único que, novamente, como o nome já diz, foi desenvolvido para proteger um único domínio.
Para tornar tudo ainda mais confuso, os certificados SSL de vários domínios também são chamados de certificados SAN. “SAN” é a abreviatura de “Subject Alternative Name” (nome alternativo da entidade). Cada certificado de vários domínios tem campos adicionais (ou seja, SANs) que podem ser usados para listar os domínios adicionais que você quer abranger em um único certificado.
Os certificados de comunicações unificadas (UCCs) e os certificados SSL curinga também permitem vários domínios e, no último caso, um número ilimitado de subdomínios.
O que acontece quando um certificado SSL expira?
Os certificados SSL expiram; eles não duram para sempre. O Certificate Authority/Browser Forum, que atua como o órgão regulatório do setor de SSL, define que os certificados SSL não devem durar mais de 27 meses. Basicamente, isso significa dois anos e três meses se você renovar seu certificado SSL anterior a tempo.
Os certificados SSL expiram porque, como qualquer outra forma de autenticação, as informações precisam ser revalidadas periodicamente para verificar se ainda são precisas. As coisas na Internet mudam, como empresas e sites, que são comprados e vendidos. À medida que elas mudam, as informações relevantes aos certificados SSL também. O objetivo do período de expiração é garantir que as informações usadas para autenticar servidores e organizações estejam o mais atualizadas e precisas possível.
Antigamente, os certificados SSL poderiam ser emitidos com duração de até cinco anos, tempo este que foi posteriormente reduzido para três anos e, mais recentemente, para dois anos mais um potencial extra de três meses. Em 2020, Google, Apple e Mozilla anunciaram que aplicariam certificados SSL de um ano, embora essa proposta esteja sendo votada pelo Certificate Authority Browser Forum. Esse período entrou em vigor em setembro de 2020. É possível que no futuro, o período de validade seja reduzido ainda mais.
Quando um certificado SSL expira, ele torna o site em questão inalcançável. Quando o navegador de um usuário chega a um site, ele verifica a validade do certificado SSL em milissegundos (como parte do handshake SSL). Se o certificado SSL tiver expirado, os visitantes receberão a mensagem “Este site não é seguro. Possível risco a frente”.
Embora os usuários tenham a opção de prosseguir, isso não é aconselhável, dado os riscos de cibersegurança envolvidos, inclusive a possibilidade de malware. Isso impactará bastante as taxas de devolução de proprietários de sites, já que os usuários clicarão rapidamente na página inicial e irão embora.
Saber quando o certificado SSL expira representa um desafio para as grandes empresas. Enquanto as pequenas e médias empresas (PMEs) podem ter um ou alguns poucos certificados para gerenciar, as organizações de nível empresarial que possivelmente fazem transações entre mercados (com inúmeros sites e redes) terão muito mais. Neste nível, permitir que um certificado SSL expire, normalmente, é o resultado de omissão, não de incompetência. A melhor forma de as grandes empresas saberem quando seus certificados SSL expirarão é usando uma plataforma de gerenciamento de certificados. Existem vários produtos no mercado, que você pode encontrar fazendo uma busca on-line. Eles permitem que as empresas vejam e gerenciem os certificados digitais em toda a sua infraestrutura. Ao utilizar uma dessas plataformas, é importante manter-se conectado regularmente para saber quando as renovações devem ser feitas.
Ao permitir que um certificado expire, ele se torna inválido e você não consegue mais realizar transações seguras no seu site. A autoridade de certificação (CA, na sigla em inglês) solicitará que você renove seu certificado SSL antes da data de expiração.
Qualquer autoridade de certificação ou serviço SSL que você usar para obter seus certificados SSL enviará notificações de expiração em intervalos definidos, normalmente com 90 dias de antecedência. Tente garantir que esses lembretes sejam enviados a uma lista de distribuição de e-mail, em vez de um único e-mail, cuja pessoa pode ter saído da empresa ou mudado de cargo no momento em que o lembrete foi enviado. Considere quais partes interessadas de sua empresa estão na lista de distribuição para garantir que as pessoas certas vejam os lembretes no momento certo.
Como identificar se um site possui um certificado SSL
O jeito mais fácil de saber se um site possui um certificado SSL é olhando na barra de endereços do seu navegador:
- Se o site começa com HTTPS em vez de HTTP, isso significa que ele é protegido por um certificado SSL.
- Os sites seguros mostram um ícone de cadeado no qual você pode clicar para ver os detalhes de segurança. A maioria dos sites confiáveis terão o cadeado ou a barra de endereços na cor verde.
- Além disso, os navegadores mostram sinais de aviso quando uma conexão não é segura, como um cadeado vermelho, um cadeado aberto, uma linha que percorre o endereço do site ou um triângulo de aviso na parte superior do ícone de cadeado.
Como garantir que sua sessão on-line é segura
Só envie dados pessoais e detalhes de pagamento on-line a sites com certificados EV ou OV. Certificados DV não são apropriados para sites de comércio eletrônico. É possível identificar se um site possui um certificado EV ou OV olhando na barra de endereços. No caso de um certificado SSL EV, o nome da organização ficará visível na própria barra de endereços. No caso de um certificado SSL OV, os detalhes do nome da organização podem ser vistos clicando no ícone de cadeado. No caso de um certificado SSL DV, apenas o ícone de cadeado fica visível.
Leia a política de privacidade do site. Com isso você pode saber como os seus dados serão usados. As empresas legítimas serão transparentes sobre como coletam seus dados e o que fazem com eles.
Procure sinais ou indicadores de confiança nos sites.
Além dos certificados SSL, eles incluem logotipos ou emblemas respeitáveis que comprovam que o site atende aos padrões de segurança específicos. Outros sinais que podem ajudar a determinar se o site é real ou não incluem verificar o endereço físico e o número de telefone, conferir a política de devolução ou reembolso e certificar-se de que os preços são críveis e não são bons demais para ser verdade.
Permaneça alerta aos ataques de phishing.
Algumas vezes, os invasores virtuais criam sites que imitam sites reais para enganar as pessoas e fazê-las adquirir algo ou conectar-se em um site de phishing. Um site de phishing pode obter um certificado SSL e, consequentemente, criptografar todo o tráfego entre você e ele. Cada vez mais, tentativas de phishing ocorrem em sites HTTPS, enganando usuários que se sentem seguros pela presença do ícone de cadeado.
Para evitar esses tipos de ataques:
- Sempre examine o domínio do site que você está visitando e se ele está grafado corretamente. O URL de um site fake pode ser diferentes por apenas um caractere; por exemplo, amaz0n.com em vez de amazon.com. Na dúvida, digite o domínio diretamente no navegador para ter certeza de que você está se conectando ao site que pretende visitar.
- Nunca insira credenciais de login, senhas, dados bancários ou qualquer outra informação pessoal no site, a menos que você tenha certeza da autenticidade.
- Sempre avalie o que o site em questão está oferecendo, independentemente de parecer suspeito e se você realmente precisa se registrar nele.
- Garanta a segurança dos seus dispositivos: o Kaspersky Internet Security verifica os URLs de um banco de dados extenso de sites de phishing e detecta tentativas, não importa o quão “seguro” o recurso pareça.
Os riscos à cibersegurança continuam aumentando, mas compreender os tipos de certificados SSL para descobrir como distinguir um site seguro de um possivelmente perigoso ajudará os usuários da Internet a evitar tentativas e proteger dados pessoais contra o ataque de cibercriminosos.
Fonte: Kaspersky