Secure Sockets Layer comumente referido como SSL é um padrão de segurança para criptografar a comunicação entre um servidor da web e o navegador do cliente. Embora o termo ainda seja usado na linguagem comum, o protocolo SSL foi de fato substituído pelo protocolo TLS, que significa Transport Layer Security.
Qualquer site com um endereço da web HTTPS usa o protocolo SSL / TLS. Sempre que o navegador da web vê um certificado SSL válido, ele exibe um ícone de cadeado verde ao lado do endereço. Esta é uma dica visual para o usuário de desktop de que toda a comunicação entre o navegador e o servidor da web está sendo conduzida por meio de um canal criptografado.
Por que usar certificados SSL?
Qualquer informação enviada pela Internet passa por vários computadores intermediários antes de chegar ao servidor da Web de destino. Isso significa que qualquer um desses computadores intermediários pode acessar os dados transmitidos, que podem incluir informações como nomes de usuário e senhas e outras informações confidenciais. Os certificados SSL reduzem esse risco, garantindo que todas as informações enviadas pela Internet sejam criptografadas de forma que apenas o destinatário pretendido possa acessá-las.
Na verdade, certos sites, como bancos e portais de pagamento, são obrigados por lei a realizar certas etapas antes de solicitar aos usuários informações confidenciais. Um desses requisitos é usar certificados SSL validados adequadamente.
Mesmo que você não esteja pedindo informações confidenciais aos usuários, vale a pena usar um certificado SSL. Em 2014, o Google anunciou que, em sua tentativa de tornar a web mais segura, o mecanismo de busca começou a usar HTTPS como um sinal de classificação. Isso significa que os sites que usam um certificado SSL válido são considerados melhores e classificados em posições mais altas nos resultados da pesquisa, tornando o certificado SSL uma ferramenta de SEO básica, mas essencial.
O que contém um certificado SSL?
Tecnicamente falando, um certificado SSL é um arquivo de dados no servidor da web que contém várias informações. O aspecto mais importante do certificado é a chave pública do site.
Isso é acompanhado pelo nome de domínio para o qual o certificado foi emitido e detalhes sobre o indivíduo ou a organização para a qual foi emitido. O certificado também contém detalhes sobre a autoridade que o emitiu, juntamente com sua assinatura digital. Outros detalhes importantes incluem a data de emissão do certificado, a duração de sua validade, juntamente com a data de validade do certificado.
A chave pública (e sua chave privada correspondente) são essencialmente longas cadeias de caracteres que ajudam a criptografar e descriptografar os dados transmitidos. É importante observar que os dados criptografados com a chave pública só podem ser descriptografados com a chave privada.
Quando um navegador da web tenta se comunicar com o servidor, ele invoca o certificado para verificar a identidade do servidor e, em seguida, obtém sua chave pública. Em seguida, ele o usa para criar um canal criptografado entre ele e o servidor da web. Todos os dados transmitidos por este canal só podem ser descriptografados pelo servidor da web que possui a chave privada.
Quem emite SSLs?
Os certificados SSL são emitidos por uma Autoridade de Certificação (CA) confiável. Os navegadores da web, os sistemas operacionais e, atualmente, até mesmo os dispositivos móveis mantêm uma lista de certificados raiz de CA confiáveis.
Um certificado raiz é muito valioso, pois qualquer certificado SSL assinado com sua chave privada será automaticamente confiável para os navegadores da web. Por outro lado, se a CA não for confiável, o navegador apresentará mensagens de erro não confiáveis ao usuário final.
Empresas como DigiCert, IdenTrust, GlobalSign e Let’s Encrypt são conhecidas como autoridades de certificação confiáveis. Os navegadores da Web e os desenvolvedores de sistemas operacionais, como Microsoft, Mozilla, Google, Opera e outros, confiam nessas CAs e, por extensão, em qualquer um dos certificados SSL assinados por suas chaves privadas.
Tipos de certificados SSL
Existem alguns tipos diferentes de certificados SSL que podem ser amplamente classificados em três categorias.
Os certificados validados por domínio (DV) são os certificados de nível de entrada que cobrem a criptografia básica e a verificação da propriedade dos registros de registro de nome de domínio. Este tipo de certificado é o mais barato e pode ser emitido em poucos minutos.
Em seguida, estão os certificados validados pela organização (OV) que, além da criptografia e verificação básicas, também autenticam detalhes sobre o proprietário, como seu nome e endereço. Considerando a verificação manual envolvida, levará de algumas horas a vários dias para obter um certificado OV.
Por fim, existem os certificados de validação estendida (EV) que são os mais confiáveis, pois também verificam a existência física e operacional do proprietário do site. Eles seguem um conjunto rígido de diretrizes para o processo de verificação, que pode levar várias semanas.
Além disso, todos os tipos de certificado SSL também têm duas variações. Existe um único certificado de domínio que protege um nome de domínio totalmente qualificado. É mais barato do que um certificado curinga que protege vários subdomínios.
O que é um certificado SSL autoassinado?
Novamente, tecnicamente falando, qualquer pessoa pode criar seu próprio certificado SSL, gerando um par de chaves pública-privada. Esses certificados são chamados de certificados autoassinados porque a assinatura digital usada não é de uma CA de terceiros, mas sim da própria chave privada do site.
Embora sejam mais convenientes e possam ser gerados instantaneamente, uma vez que não há verificação de terceiros, os navegadores da web não consideram os certificados autoassinados confiáveis. É por isso que, embora a comunicação seja criptografada, os navegadores da web ainda marcarão o site como “não seguro”. A maioria dos navegadores da web, pelo menos, garantirá que você entenda que o site usa um certificado autoassinado antes de exibir o conteúdo do site.
Como obter certificados SSL?
Graças ao seu papel na classificação do mecanismo de pesquisa, é uma boa ideia que todos consigam um certificado SSL.
A primeira etapa é determinar que tipo de certificado você precisa, em grande parte dependendo do número de domínios e subdomínios que você precisa proteger. O processo é muito mais crucial para empresas em setores regulamentados, como o bancário, que precisam ter certeza de que seu certificado SSL atende aos requisitos definidos.
Existem vários fornecedores de certificados SSL e, dependendo do tipo de certificado e da reputação e confiança da autoridade de certificação emissora, os custos dos certificados SSL podem variar de alguns dólares a várias centenas de dólares por ano.
Atualmente, no entanto, você também pode obter um gratuitamente, graças ao Let’s Encrypt CA. Foi fundado pela EFF, Mozilla e a Universidade de Michigan, com Cisco e Akamai como patrocinadores fundadores.
Let's Encrypt é uma CA sem fins lucrativos que distribui certificados SSL gratuitamente desde abril de 2016. Seus certificados são válidos por 90 dias e podem ser renovados a qualquer momento durante o período de validade. De acordo com a própria pesquisa do Let's Encrypt, seus certificados foram amplamente adotados por usuários preocupados com os custos, que incluem sites menores, como blogs pessoais e pequenas empresas.
- Acesse a internet com segurança com a melhor VPN.
